作为一道没有附件的pwn题，选手所有的信息都只能通过与服务器的交互获取，对于出题方的服务器压力应该还是比较大的。不过这次看雪给每个选手提供了一个独立的docker，相比以前有很大提升，有了一个不错的做题体验。
首先在百度上搜索ctf BROP，了解一下BROP的基本知识和做题方法，发现PWN学习总结（七）—— BROP这篇文章不错。参照上面的方法，可以获取栈溢出长度为16，STOP GADGETS为0x4000B0，同时也可以探测到溢出函数的返回地址应该是0x4000CE。可以发现这两个地址距离默认基址0x400000都特别近，初步判断目标程序应该特别简小精悍。
下一步想参照文章里说的搜索BROP GADGETS，但是没有任何结果，于是逐步放宽搜索条件，从6个pop加ret改为5个、4个、3个，发现在合理范围内居然都没搜索到。但是在0x4000F5，0x4000FA，0x4000FB，0x4000FD，0x4000FE，0x400100，0x400102搜索到2个pop加ret，0x400101，0x400106搜索到一个ret（即0xC3）。很明显0x400101和0x400106之间的距离不太像是两个函数的ret，所以我们最终只发现了一个函数的ret。但作为栈溢出题，特别是溢出函数后面需要打印"TNT TNT!\n"字符串，证明这个程序里至少包含主程序和溢出函数两段代码，主程序可以不用ret，但是子函数必须有，所以可以推定0x400106为子函数代码段的结尾。同时由于没有搜索到单个pop加ret的代码，所以子函数平衡堆栈的方式应该是直接修改rsp寄存器，因此得到0x400102处代码为add rsp,10h。
通过设置返回地址的方式仔细搜索0x4000CE至0x400102的内存，发现当地址为0x4000EC，0x4000ED，0x4000EE，0x4000EF，0x4000F2,0x4000F3时虽然也没有任何输出信息，但是返回速度特别慢，通过反复测试发现应该是服务器正在等待输入，当地址设置为0x4000EC时在输入后甚至还返回了一段奇怪的字符。

通过比对本地程序的运行内存状态，可以发现输出内容就是目标程序的当前栈。其中0x4000b0作为entry point也得到了确认。但是这段内存既没有libc的地址，本该是ld地址的地方也被设置成了0。因此也没有办法通过跳转到程序外进行探测。这段内存里leak的唯一有用信息就是stack地址，而且通过0x188处的指针应该指向0x1b9处的“x86_64”可以完全确定当前0x00处对应的内存地址。
确定栈的地址后，我们就可以将返回地址设置到栈上的任意地方，考虑到这个程序实在太短，很难设置太复杂的get shell方式；同时考虑到这个程序既然连栈溢出这么简单的漏洞都有，那么加上一个栈上可执行应该不算太过分。
在简单的验证了mov rax，0x4000B0；jmp rax可以执行后，就开始了漫长的找shellcode之旅。本以为这样的shellcode百度上到处都是，没想到不是32位的就是windows的，或者是各种异型编程或者是编译不通过，一直就用不了。只好重新学习了一下linux下64位的系统调用原理，自己按照说明老老实实写了一个。
下面附上获取tnt文件的代码，最后发现获取的整个文件居然只有1104字节，可以说设计得非常精妙：

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课