CTF实战系列题解：代码与漏洞利用.pdfVIP

安全小课堂CTF实战系列——pwn题题解

JSRC安全小课堂CTF实战系列，将不定期为大家放出CTF赛事的题目解析以供CTF者参考学习

今天为大家带来的是2018年的看雪·京东CTF大赛里的一道pwn题分。这是一道把加和利用相结合的题，

本题作者（BennetD）把关键代码进行了异或加密并且进行了反调试保护，当出代码后会发现存在格式化字符

串和栈溢出，通过格式化字符串来canary，然后利用栈溢出覆盖返回地址就可以获得shell，从而

flag完成。

下面是本题的设计思路：0x0基本信息系统：Ubuntu16.04（可作为提示信息）

类型：栈溢出缓解措施：NX，Canary软件自身保护：代码自/自加密，反调试，系统调用（这个也算

保护？）

程序概要执行流程：0x1设计思路初始想法：对自身代码做保护措施，对关键代码编码，总不能F5一键还原关键

代码吧；类型选择栈溢出（相对简单，理解起来容易，题目设计起来也容易_）；加入反调试，防止动态调试；

使用系统调用来完成一些主要功能，防止一眼看出程序在做什么（大佬除外）

代码编码：不论对代码还是加密就是对代码的编码，是对加密后的代码进行执行，加密是对程序原有

的一些代码进行加密（这些加密代码的选择是只执行一次的代码，执行多次的代码再次执行时需要对应的，设

计就更复杂了。运行时对代码加密可以防止分析人员对程序的正确dump，当然识别出代码加密的机制这个防护也

就绕过了）

编码思路：采用xor来对代码进行编码，输入6字节的key，共对6段代码进行加密，输入的6字节并非编码key，

真正编码key由输入key计算得来，计算过程如下图：使用输入的key（k1-k6）作为，第1次加密使用k1;第

2次加密使用k1和k2进行xor的结果，记作X2;第3次加密使用X2和k3进行xor的结果，依次按照这种模式共

完成6次加密。加密完成后只需要输入正确的key经过6次即可完成对这些编码后的代码完全了。经过正

确的代码中有运行时对程序部分代码的编码，所说的运行时对代码加密就是这些代码完成的，使用的key和最

终编码key一致。

系统调用：查看系统调用号路径/usr/include/asm/unistd_64.h，使用到的系统调用有

read,write,mprotect,exit,ptrace。unistd_64.h文件中如下：

read和write用来获取或输出信息；mprotect用来修改内存属性，使对应内存可写，因为我们要对代码进行编码，

这是必要的；ptrace和exit用来完成反调试的功能，下面以反调试为例，说一下系统调用的构造。

反调试：使用系统调用构造功能汇编代码的关键是参数的传递，对于linux系统64位程序来说，一个函数前六个参

数分别通过rdi,rsi,rdx,rcx,r8,r9来传递，其他的参数通过栈来传递，rax寄存器保存的是对应调用号，按照这个

规则使用不同的参数和调用号就可完成不同对应的功能函数。这里使用ptrace自身的方式来判别是否处于调试

状态。

ptrace反调试c代码：使用系统调用的ptrace汇编代码：程序exit(0)也可以根据上述写出对应的系统调用

函数，结合ptrace即可完成针对调试器的检测且在检测到调试器能正常结束程序的功能。

栈溢出设计：通过覆盖返回地址即可持执行流，增加点难度添加NX和Canary栈保护机制，NX确保了数据的不

可执行，而Canary保护则几乎可以挫败所有通过覆盖返回地址达成的利用，但也有例外，比如这题就是很刻意的

例外，通过printf出Canary，返回地址任意更改，Canary还是你的Canary。代码逻辑如下：

很明显的格式化字符和栈溢出，有利用基础的将会很快写出利用代码，但在这一切之前，在寻找到真正的

代码之前，你需要做的就是对程序的正确，反调试的绕过和对系统调用的功能识别。

0x2解题思路获取key：题目的难度似乎不在于程序