此比赛是韩国的一个CTF比赛，题目质量还可以。题目构思精细，比较有意思。

此题是此次Pwn中较为简单的一道题目，主要是一道考察栈溢出和secomp的题目。 有栈溢出漏洞但是限制了部分syscall。 不能调用system("/bin/sh")，open被限制了但是没有限制openat , 那么这里可以使用openat syscall来打开flag文件，然后读取并write。exp如下:

这题还是挺有意思的，漏洞点不是那么显而易见。比较有隐藏性。
程序的主要逻辑:
1.打开/dev/urandom并生成随机数种子
2.两个功能，第一个生成随机sha1，第二个是和特定hex对比。
3.整个程序我们可控制的范围很小。没有明显的栈溢出漏洞。
刚开始没啥思路，就checksec了一下 发现没有开启栈保护，于是乎猜测和栈溢出有关？
写上脚本盲跑一番，果然程序崩溃了。我们读取index选择功能的时候，输入一串'a'居然覆盖了eip。当时就比较懵。没有分析其具体原因，找了一下偏移，偏移是8，总共能输入32个字节，
构造ROP链只有24个字节，也就是只能执行一个函数的函数，然后执行完了连ret的地址也控制不了，当时就陷入了僵局。翻了翻函数表，发现一个函数没有被程序用到，可能是作者留下的暗门函数。 这个可以控制读取的地方，你通过多次输入发现size其实是和我们输入的eip的前8个字节的最后一个字节有关。后面的技术是栈迁移技术。
我们这里谈一下，如何造成了(栈溢出漏洞):
看此图


这里函数传入一个buf变量给gensha1。此变量的大小是24。sprintf函数用于拼接index和sha1。当index大于100就会导致破坏ebp，最后一个字节被覆盖为0x00。 这样直接我们返会到main再返回到__libc_start_main，两个leave会导致esp发生变化。通过不断调试，可以使esp的位置指向我们输入chooice的位置。这样我们就可以写eip了。这里是本漏洞的成因。下面是利用exp：

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！