permission 100 3442 solves Ready to begin the gam...

创建于：2026年5月5日

使用 GPT-5.5 Thinking 回答 Chat01

问题

attachment-9

permission
100
3442 solves

Ready to begin the game? A simple conversation can change everything.
题目地址:39.96.193.120:10000

附件下载
一般为ISCC{XXXX}，如果为flag{XXXX}会在题目描述中说明
Flag
提交

思考

我会先检查附件类型和内容，再尝试和题目服务交互，判断这是二进制、Web、权限绕过还是对话类题目，最后提取可提交的 flag。

Thought for 5s

思考

bash -lc python3 /mnt/data/permission_exploit.py 39.96.193.120 10000

Thought for 4m 1s

回答

这题是 pwn / 32-bit ELF，核心链路已经做出来了：

main() 里有格式化字符串漏洞：printf(buf)
用它把全局变量 target_val @ 0x0804c030 改成 5，进入 vuln()。
vuln() 里有栈溢出：
read(0, buf, 0x100)，返回地址偏移是 148。
NX 开启、无 PIE、无 Canary，所以用 ret2dlresolve，不依赖远程 libc，直接解析 system() 执行：

bash
cat flag* /flag* 2>/dev/null

我这边尝试连接题目服务时返回：

text
ConnectionRefusedError: [Errno 111] Connection refused

所以目前拿不到远程返回的真实 flag；附件本身也没有静态 flag。服务恢复后运行下面脚本即可打。

脚本已整理好：
下载 permission_exploit.py

运行方式：

bash
python3 permission_exploit.py 39.96.193.120 10000

关键 payload 是：

python
fmt = p32(0x0804c030) + b"%1$1c%4$n"

用于把 target_val 写成 5；随后栈溢出走 ret2dlresolve 调 system()。

分享这个问答