ACTF Dice Game Writeup

最新推荐文章于 2022-04-19 21:25:24 发布
最新推荐文章于 2022-04-19 21:25:24 发布
阅读量827 收藏
点赞数
分类专栏: 没事撸题 文章标签: python ctf writeup
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zh_explorer/article/details/45488917
版权

ACTF也算是结束了,浙大的那帮人脑洞也是够大的 π__π 这题目也是坑得可以。。。像我这样的渣渣只能是挑所有题目中最简单的来了。

这次的ctf好坑啊,竟然所有逆向破解题都是apk,我完全不会啊(>﹏<),只能弄到ppc了。

Dice Game 题目直接把python的源码贴了出来。源码如下:

#!/usr/bin/env python
# coding: utf-8
"""
Yet another problem for ACTF2015.
By H4sIAOzUQ1UCAwtIzUuvLFVwzkjNU9AoAHMccjKTiksSi4oy0yr1ivM1uQCpNCsJJAAAAA==
COPYLEFT, ALL WRONGS RESERVED.
"""

import random
import time
import sys
assert sys.version_info >= (3, 2)


NUM_ROUNDS = 1000
SCORE_INITIAL = 100
SCORE_ROUND = 10
SCORE_BONUS = 2


class WeBreakup(Exception):
    """Hmmm.. :("""
    pass


def play_round(scores):
    """Plays a single round. Returns round status and new scores."""
    print('..and your guess is?')
    guess = input()
    point = random.randint(1, 6)
    mapping = {x: 'small' if x <= 3 else 'big' for x in range(1, 7)}
    if guess == mapping[point]:
        print('Correct. :(')
        guessing_correct = True
        # You know I'm the boss, right?
        score_delta = SCORE_ROUND - SCORE_BONUS
        scores = (scores[0] - score_delta, scores[1] + score_delta)
    else:
        print('Incorrect! :)')
        guessing_correct = False
        # You know I'm the boss, right?
        score_delta = SCORE_ROUND + SCORE_BONUS
        scores = (scores[0] + score_delta, scores[1] - score_delta)
    return (guessing_correct, scores)


def play_game():
    """Plays a game."""
    print('Hey hey, you you, I wanna play a game! :)')
    reply = input()
    if reply not in ('Sure!', 'Okay!', 'With pleasure. :)'):
        raise WeBreakup('You bad guy :(')
    scores = tuple(SCORE_INITIAL for i in range(2))
    random.seed(int(time.time() * 1e5))
    recently_is_beaten = []
    print('Well, we play a simple dice game! :)')
    for i in range(NUM_ROUNDS):
        is_beaten, scores = play_round(scores)
        print('After round %d the scores are %s' % (i, scores))
        if scores[0] <= 0:
            raise WeBreakup('I feel humiliated. :(')
        recently_is_beaten.append(is_beaten)
        if recently_is_beaten[-5:].count(True) >= 5:
            raise WeBreakup('How dare you beat me 5 times in a streak! :(')
    if scores[0] < scores[1]:
        raise WeBreakup('Do you think it is more important to win this game than making me happy? :(')
    elif scores[1] > scores[0]:
        raise WeBreakup('You are still too young too simple! :(')
    else:
        print(u'I \u2661 U!')
        response = input()
        if response == 'Me too! <3':
            key_f = open('./flag', 'r')
            print('Flag: %s' % key_f.read().strip())
            key_f.close()


if __name__ == '__main__':
    play_game()

确实算是个掷筛子的游戏,向服务器发送“big”或者“small”猜大小。双方各100分,猜对我方加分8分,猜错扣12分,对方反之。猜1000次。如果最后两人的分数一样,则打印flag。一个两人零和的游戏。但是猜对概率是二分之一。而且还有2条限制条件
1.不能连赢5次
2.对方分数不能小于0
有这么多限制,在概率上达到平局的概率基本上是不可能了。虽然可以发送些“aaa”之类的可以保正出错。但是无论如何,我方是必输的。。。╮( ̄▽ ̄)╭

所以只能是另外想办法了。

然后注意到了这个random.seed(int(time.time() * 1e5))这个随机函数是以系统时间来做seed的。相信了解过随机函数的都知道,只要知道了一个随机函数的seed和函数的算法,那么随机函数的值是完全可以预测的。问题就是得到int(time.time() * 1e5)的值了。不过因为网络延时和系统时间的不同,再加上坑爹的1e5次。所以要同步时间是个大问题。

所以先写了这么两段代码


import socket
import time
import random
list = []
scores = 0
a=0
str=""
s = socket.socket()
s.connect(('119.254.101.232',9999))

print (s.recv(100))
s.send(b'Sure!\n')
print (s.recv(100))

Seed=int(time.time() * 1e5)
i=0
right = 0
while i<20:
    s.send(b"big\n")
    h=s.recv(100)
    print (h)
    if h[0] == 67:
        list = list + [1]
        scores += 1
    else:
        list = list + [0] 
    i+=1
print (v,list)
s.close()

第一段代码,用本地的一个time函数获取seed可能的值,然后从服务器上拖了20次猜数字的结果下来。这里我故意在recv之后再调用time。目的是为了让本地的时间数字上大于服务器端的。这样算法比较简单。

把刚才的Seed,和list粘贴到这里。

flag=0
x=1
while(flag==0):
    x += 1
    random.seed(v-x)
    print (x)
    i=0
    while(i<20):
        point = random.randint(1, 6)
        if point<=3:
            if list[i] == 1:
                break
        else:
            if list[i] == 0:
                break
        i += 1
    else:
        print ("boom",x)
        flag = 1

这段代码模拟了服务器上的环境,用暴力枚举的方法把seed给爆破了出来。大概是5W左右。。。
坑得的1e5。每次同步修正的数值都不一样,波动都在100以上。在这里卡住了。

后来行为来回的粘贴挺麻烦的,所以我把两段代码给放在一起,然后再得到样本的同时直接跑出修正值来看看。

然后,我为我的智商感到担忧。。。既然可以直接跑出seed的值了。我干啥还要断开连接呢?直接继续跑就可以了(╯‵□′)╯︵┻━┻

然后,就有了下面这段代码。

#!/bin/env python
#coding:utf-8

import socket
import time
import random
list = []
right_times = 0
a=0
str=""
s = socket.socket()
s.connect(('119.254.101.232',9999))

print (s.recv(100))
s.send(b'Sure!\n')
print (s.recv(100))

x=50000
v=int(time.time() * 1e5-x)
random.seed(v)
i=0
right = 0
while i<20:
    point = random.randint(1, 6)
    s.send(b"big\n")
    h=s.recv(100)
    print (h)
    if h[0] == 67:
        list = list + [1]
        right_times += 1
    else:
        list = list + [0] 
    i+=1


print(v)
flag=0
x=1
while(flag==0):
    x += 1
    random.seed(v-x)
    print (x)
    i=0
    while(i<20):
        point = random.randint(1, 6)
        if point<=3:
            if list[i] == 1:
                break
        else:
            if list[i] == 0:
                break
        i += 1
    else:
        print ("boom",x)
        flag = 1

v -=x
random.seed(v)
i=0
while i<20:
    point = random.randint(1, 6)
    i+=1

i=0
k= right_times//4+1
while i<230+k+right_times:
    point = random.randint(1, 6)
    s.send(b"aaa\n")
    h=s.recv(100)
    print (h)
    i+=1
q=0       
while right_times<600:
    if q ==4:
        point = random.randint(1, 6)
        s.send(b"aaa\n")
        h=s.recv(100)
        print (h)
        q=0

    point = random.randint(1, 6)
    if point > 3:
        s.send(b"big\n")
    else:
        s.send(b"small\n")
    h=s.recv(100)
    print (h)
    q += 1
    right_times +=1
s.send(b"Me too! <3\n")  
h=s.recv(100)
print (h)

s.close()

总之,思想就是先在线取样本,在本地跑seed,然后总共构造出赢600次,输400次。注意不要半路被踢和random次数始终和服务器保持一致就可以了。最后就是服务器有时间限制,如果超时直接断开连接。所以注意跑seed的时候要稍微估算一下防止超时。

PS:靠着我那刚学1星期的python写出的半吊子代码,就不要吐槽了 ╮( ̄▽ ̄)╭
祝贺协会在这次ctf中取得好成绩。

zh_explorer
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
dice_game [XCTF-PWN][高手进阶区]CTF writeup攻防世界题解系列12
重新启程
12-23 1721
题目地址:dice_game 从这篇开始就正式进入高手进阶区,一些简单的知识点我这里就不会再重复赘述了,请有需要的同学看前面的章节。 废话不多,看看题目 题目没什么提示,只是知道这个题目的来源是:XCTF 4th-QCTF-2018 下载附件,看看情况,照例做下保护机制检查 root@mypwn:/ctf/work/python/dice_game# checksec dice_g...
170913 逆向-问鼎杯题库(dice game
whklhhhh的博客
09-13 1044
1625-5 王子昂 总结《2017年9月12日》 【连续第345天总结】 A. 问鼎杯题库-逆向两题 B.Beat our dice game and get the flagC++写的,无壳 运行提示要求掷五次骰子,需要结果为3-1-3-3-7 很明显,是正常运行下不可能出现的结果除了Enter外不接受输出,观察IDA 发现进行了大量处理,但没有字符串的显示,说明这里要不是混淆要
攻防世界-dice_game-Writeup
SkYe's Blog
05-13 805
dice_game 题目来源: XCTF 4th-QCTF-2018 考点:栈溢出、混合编程 基本情况 程序实现的是一个具有用户姓名输入的菜随机数程序。 保护措施 Arch: amd64-64-little RELRO: Full RELRO Stack: No canary found NX: NX enabled PIE: PIE enabled 栈溢出 一开始我在纠结是输入数字时使用的是短整型,可不可能是整型溢出,这样既能保持低位数字符合要求,又能控制
xctf 攻防世界-dicegame writeup
qq_43189757的博客
07-07 382
比较容易发现可以对buf进行缓冲区溢出,继续往下看 可以发现获得flag的条件是循环50次,50次输入的v1值与随机数v2 都相等 根据前面发现的缓冲区溢出可以发现我们可以覆盖掉seed种子值 那么种子值可以被我们随意设置为一个任意值,我把它设置为0,有了种子值可以写一个c程序把50次产生的随机数都求出来 有了随机数便可以编写exp了 C程序: #include <stdio.h&...
北林oj-算法设计与分析-A dice game(思路+代码)
qq_54416938的博客
03-20 730
描述 One day, boy A and girl B are playing a dice game. First, they write a number between 1~6 in a piece of paper, and then roll the dice. The one whose number is closer to the number of the dice will win this game. For example, A wins if |a-x|<|b-x|. A
pwn dice_game
weixin_44319142的博客
05-02 495
dice_game 又是seed from pwn import * from ctypes import * context.log_level='debug' libc = cdll.LoadLibrary("libc.so.6") p = process('./dice_game') #p = remote("111.198.29.45",56813) p.recvuntil(" ...
攻防世界 Pwn dice_game
MrTreebook的博客
12-18 296
攻防世界 Pwn dice_game1.题目下载地址2.checksec3.IDA分析4.exp 1.题目下载地址 点击下载 2.checksec 没有canary,可能是简单的栈溢出 3.IDA分析 在sub_A20()中可以看出v2是一个通过种子生成的 1~6 的 随机数 之前有做过类似的题,只要控制种子即可预测随机数 在read函数处有栈溢出的漏洞 在下面看到需要连续答对50次才可以获取flag 那么我们构造的思路就是利用这个溢出点覆盖seed从而预测随机数 4.exp from pwn im
[XCTF-pwn] 5-dice_game
weixin_52640415的博客
03-03 516
跟pwn都关系不大,连续答对50个随机数即可。 分两步:先按他的种子生成随机数 #include <stdio.h> #include <stdlib.h> int main(){ unsigned int seed; seed = 0x30303030; srand(seed); for(int i=0;i<50;i++)printf("%d\n", rand()); return 0; } 然后用这输入这些随机数就能
PWN做题笔记4-guess_num(已修订)
qq_40923256的博客
04-19 408
原题地址:https://adworld.xctf.org.cn/task/answer?type=pwn&number=2&grade=0&id=5057&page=1 如图,程序为64位ELF文件 安全机制全部开启,不太可能是注入地址 程序的功能为输入用户名,之后猜10个数,全部猜对可以获取flag main函数用户名存在注入点 查看栈结构可以发现用户名可以覆盖随机数种子 构造输入:b"A"*(0x20)+p32(0),随机数种子为0 以相同的...
pwn_dice_game
weixin_44464829的博客
10-31 268
常规操作:checksec dice_game 发现文件是64位 放入ida中看c的伪代码: 这是一个猜数字的题,之前有做过类似的题,目的是覆盖seed,使随机数不再随机产生 点开sub_A20()看看随机数怎么构造的: 可以看到rand()%6+1线性同余的方式生成随机数,下一步就是想要覆盖掉种子位置上的值 看一下种子的位置: buf是我们可以写 入数据的缓冲区,通过read函数写入,这又是经典的栈溢出漏洞 0x50-0x10=0x40 因为附件解压后有两个文件,其中一个是l
Gym - 101502 D. Dice Game 思维+dp
人生如戏
08-11 592
D. Dice Game time limit per test 1.0 s memory limit per test 256 MB input standard input output standard output A dice is a small cube, with each side having a different number of spots on it...
攻防世界PWN-guess_num
Deeeelete的博客
11-16 670
题目:guess_num checksec查看详情 64位以及各种防护全开 运行一下逻辑,的确是一个猜数游戏 进64位IDA 反编译main函数 出源码 摘代码 __int64 __fastcall main(__int64 a1, char **a2, char **a3) { FILE *v3; // rdi@1 __int64 v4; // rax@1 const char *v5; // rdi@1 __int64 result; // rax@7 __in
攻防世界 pwn进阶区解法 write up(一)
qq_46441427的博客
03-01 380
实时数据监测 找信息 没有发现canary,没有开启PIE和NX 查看ida 发现有一个printf,这里是fgets,可能会用到格式化字符串漏洞,运行一下程序 结合ida的分析我们可知,要把这个值改成0x2223322,那结合之前的printf,可以确定是格式化字符串漏洞 给了我们地址,那我们的payload就以地址为开头,因为是p32,所以后面35795746要减4,构成%35795742d%偏移量n$ 然后确定偏移量: 总共,从A到41包括A有12个,偏移量=12 所以得到payload
2017X-NUCA WEB专题赛前指导 writeup
pythonniu的博客
08-16 2485
前言今年的题目基于去年的题目新增了几道题 最安全的笔记管理系统 -做不出 Document-getshell-找不到flag 题目捉迷藏思路 点击index,flag一闪而过,简单粗暴点直接查看源码获得flagview-source:http://218.76.35.75:20111/Index.php <html> <head> <title>HT-CTF-2016
【WhaleCTF逆向题】第一期大骰子writeup & ebCTF 2013 BIN100writeup
iqiqiya的博客
09-18 1281
【20181026更新】 这道题是有两种方法的 0x01:一种就是不管游戏  直接找与flag有关的变量  操作过程  最后直接py脚本计算flag即可(ps:有机会补坑) 0x02:一种就是下面这样按照计算出正常的输入   让程序帮我们计算flag输出 程序有两个反调试的点 0x01: 这里调用isDebuggerPresent()方法    如果检测到正在被动态调试  就将v86的值...
dice_game XCTF 4th-QCTF-2018
qq_41071646的博客
04-27 1086
其实感觉这个题 不算是pwn题。。。 这 pwn 里面就是 读取flag 文件 然后我们看一下 sub_a20 这个函数 随机数啊 本来我没有想用 把种子给 覆盖掉 但是 time(0) 感觉不稳 时间一万一不对劲 那么随机数 也会出错 所以干脆 把种子固定下来 下面是 exp #coding:utf-8 from pwn import* list...
(wp)攻防世界PWN——guess_num
0pt1mus
04-02 1132
转载自个人博客0pt1mus 好久没有做PWN题了,今天开始做一下,把之前的东西捡起来,同时对之前有些知识点也有了新的认识,新的理解。 分析 首先将附件下载下来,同时通过nc连接一下,了解一下大致的流程。 可以看到,先让我们输入用户名,然后输入猜的的数字。 然后常规操作,通过file和checksec工具判断文件类型和开启了那些防护措施。 可以知道这是一个64位的linux程序,并且开启了部分...
ACTF2020 新生赛 -- WP
会下雪的晴天
05-18 3086
做题思路记录,同时感谢赵师傅和Y1NG的环境与源码 文章目录[ACTF2020 新生赛]Include[ACTF2020 新生赛]Exec[ACTF2020 新生赛]BackupFile[ACTF2020 新生赛]Upload [ACTF2020 新生赛]Include 主页显示是一个链接,点进去看看,URL出现file=,结合题目判断为文件包含 用伪协议读flag.php,一般语句为php://filter/read=convert.base64-encode/resource=xxx php:/.
ACTF gogogo
最新发布
09-06
ACTF是指Attack and Defense CTF,是一种网络安全竞赛形式。在ACTF比赛中,参赛队伍需要在规定的时间内攻击对手的系统并保护自己的系统免受攻击。参赛队伍需要在攻防过程中发现漏洞、修补漏洞、攻击对手并保护自己的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值