AI 做题日记 03-夜雨聆风

AI 做题日记 03

哈喽各位 CTFer～欢迎回到我的 AI 陪练刷题日记！继前两期的堆题和 Web 题之后，今天我们挑战的是一道自定义虚拟机（VM）Pwn 题，全程跟着 AI 的解题流程走，从 IDA 插件故障的应急方案，到 TOCTOU 漏洞的挖掘，再到绕开 SHSTK/IBT 的稳定利用链搭建，每一步都踩得明明白白，新手也能抄作业！

一、开局踩坑：IDA 插件故障？立刻切换本地证据链

拿到题目后，按照标准流程跑了 pwn MCP healthcheck，结果直接报错：ida.reachable=false, probe_error="failed to reach IDA plugin at http://172.23.48.1:18080/mcp: timed out"

WSL 后端也是本地环境，无法联动 IDA 插件，这条路客观上走不通了。AI 立刻给出预案：放弃 IDA 联动，转用 pwn MCP 本地工具 + objdump + gdb，聚焦反汇编和动态调试证据链。

二、漏洞结论：全保护下的 VM 题，突破口藏在 TOCTOU

1. 保护机制分析：硬刚栈 ROP 根本不划算

2. 关键证据：VM 存在 decode/execute 分离，天生带 TOCTOU

三、利用思路：不走栈不碰 GOT，直接修改 exit_handler 链

四、可运行 EXP 与验证结果

五、日记小结：VM 题的解题思路与收获

这道题给我最大的感受是，全保护环境下，硬刚栈 ROP 往往是死路，而 libc 内部的控制结构才是真正的突破口。AI 在整个过程中帮我做了几件关键的事：

开局 IDA 插件故障时，立刻切换本地证据链，避免了无意义的排查。
精准识别 VM 的 decode/execute 分离，点破 TOCTOU 漏洞的本质。
结合保护机制，直接排除了栈 ROP 和 GOT 劫持的思路，锁定 exit_handler 链攻击。
给出可直接复用的指针混淆公式和完整 EXP 结构，帮我省去了大量调试时间。

VM 题看起来复杂，其实核心还是 “找漏洞 – 绕保护 – 搭稳定利用链”，AI 帮我把这个过程拆解得清清楚楚，让我第一次完整通关了带 TOCTOU 漏洞的 VM 题。