[分享]XCTF L3HCTF 2025 pwn 方向解题思路

总体来说，pwn方向的题目相对其他类型还是较为简单的。 漏洞在 fight_dragon 有个明显的stack溢出，可以通过修改 v3 来如果 canary,然后修改返回地址fight_dragon 返回时 rsi 是一个libc 地址 ，1/16 概率 把返回地址改到这里，可以直接泄露 libc,有了libc 后 再次利用 fight_dragon 栈溢出 写 rop 即可‍fight_dragon 被修复了，但没完全修复，仍然存在 溢出，只不过只能修改返回地址的一个字节写个脚本把在 0x18xx 这段里的gadget 都找出来看看，有没有可以利用的 有个 pop rbp恰好下面就是 heap地址，后继续运行程序并没有出错后面执行 note_system 可以看到 note_list[] 也在堆上了 需要在heap 上提前布局，然后泄露 heap 地址， game 函数 return 时 rsp 也在 heap 上（后面再堆风水，修改stack 进行rop）漏洞在功能3，没有限制 page 的索引，可以任意偏移写本地测试发现 编辑写入的数据所在的段有两种情况，在heap 下面的时候， 他会和其他线程的stack 地址有固定偏移后面直接写rop 就行了，elf 里面gadget 足够用了，还有 syscall‍from pwn import *

---
来源: 看雪论坛
原文链接: https://bbs.kanxue.com/thread-287611.htm

最后于 2025-7-15 14:46
被Shangwendada编辑

，原因：

感谢分享新鲜出炉的比赛WP~

接私活吗

winmt


感谢分享新鲜出炉的比赛WP~

能私聊吗