ZCTF-2017 比赛总结

这次ZCTF办的还是相当不错的，至少对于Pwn来说是能够让人学习到一些东西。

第一天做的不是很顺利，一直卡在一道题上不动。第二天队友很给力，自己的思路也开阔起来了。

关于赛题的优点

我觉得这次的Pwn300-class是一道比较有意思的题，整数溢出并不难找。比赛过程中可以很快的发现这个漏洞，但是接下来的利用比较头疼，我一直到比赛结束都未能想到是通过setjmp这个函数进行利用的。

这是我第一次见到setjmp这个函数，通过writeup我了解了一下这个函数是以一个缓冲区来保存跳转的目的地址的，这一点有点像线程切换的上下文context。当时我直接把它当成goto也没有详加了解就略过了。

此外这道题还有一个点比较有意思，就是利用atoi函数的一个特性：

参数nptr字符串，如果第一个非空格字符存在，是数字或者正负号则开始做类型转换，之后检测到非数字(包括结束符 \0) 字符时停止转换，返回整型数。否则，返回零，

当遇到非数字字符时会停止转换，这点也是我没有意识到的，利用这一点可以使用atoi的栈空间进行gadgets的布局。

---

此外通过sandbox这道题学习了一波linux的父-子进程调试机制。因为我是搞Windows底层出身的，对于Linux的各种机制不是很熟悉，这次学习了一下。

ptrace 的使用流程一般是这样的：父进程 fork() 出子进程，子进程中执行我们所想要 trace 的程序，在子进程调用 exec() 之前，子进程需要先调用一次ptrace，以 PTRACE_TRACEME 为参数。这个调用是为了告诉内核，当前进程已经正在被traced，当子进程执行 execve() 之后，子进程会进入暂停状态，把控制权转给它的父进程(SIG_CHLD信号), 而父进程在fork()之后，就调用 wait()等待子进程停下来，当 wait() 返回后，父进程就可以去查看子进程的寄存器或者对子进程做其它的事情了。
当系统调用发生时，内核会把当前的%eax中的内容(即系统调用的编号)保存到子进程的用户态代码段中(USER　SEGMENT or USER CODE)，我们可以像上面的例子那样通过调用Ptrace(传入PTRACE_PEEKUSER作为第一个参数)来读取这个%eax的值，当我们做完这些检查数据的事情之后，通过调用ptrace(PTRACE_CONT),可以让子进程重新恢复运行。

这道题基本上就是这样的流程

fork出的子进程首先调用PTRACE_TRACEME向父进程宣告，然后通过execl加上argv路径执行沙盒中的程序。

而父进程则是监视子进程的调用，一旦超出限制就会结束进程。

---

还有就是Pwn200-login，比赛第一天的时候我和队友一直在往爆破上面想，现在想来也是比较弱智的。。因为第一不能确定是否是fork的进程，第二是有alarm怎么可能爆破的出来。后来晚上晨升牛说可以往字符串漏洞上搞。自己试了一下发现的确可以，搞出了任意地址写，但是没能找出可以leak的地方，然后晨升牛已经拿到flag了。。ORZ解题真是太快了。通过这道题学到的就是格式化函数可以通过分段格式化进行利用，这个以前也是没有遇到过的。

最后就是题量还是比较足的，考察点很多。

一些不足

因为很快自己也要给XCTF出题，所以这里记录一下。

第一是类型还是比较单一的，基本上都是NX+CANARY的情形，到自己出题时一定要注意一下出一些其它保护的绕过考察，比如地址无关。

第二是感觉题目还是为了出题而出题，这一点老外的比赛做的比较好，希望轮到自己时可以改进。

其它

这次比赛下来感觉自己的水平还是与dalao们有一些差距，一些思路难以第一时间反应过来，幸好搞Pwn的队友们相当给力，尤其是晨升牛各种秒题ORZ...,成绩还是相当不错，Nu1L这次第三，与第一名只有一两道题的差距。这次比赛自己的产出不是很多，比较惭愧，希望下次能够为队伍做更大的贡献，也希望Nu1L下次可以拿到第一。