pwnable.kr-blackjack WP

最新推荐文章于 2024-08-30 09:23:04 发布
原创 最新推荐文章于 2024-08-30 09:23:04 发布 · 418 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

博客围绕扑克牌21点游戏程序展开,介绍游戏规则为达到21点赢,未到则比大小,初始有现金并需输入赌注。玩家发现程序未检查输入,通过分析源码找到相关函数,发现其仅检测输入值,可利用此漏洞故意输一局获取百万富翁奖励。

题目是blackjack,翻译过来是扑克牌的一种玩法,叫21点。首先看了一下源码,700多行,脑壳疼,还是先玩一局看看吧

BlackJack0.png

规则和百度上的一样,就是一个21点的游戏,21点就赢了,如果没到21点的话,就比较大小。

BlackJack3.png

初始现金是500,让你输入你的赌注(bet),输入比你现金(cash)大的数会给错误提示。

BlackJack4.png

BlackJack5.png

随便玩了一局,赢了,可以看到我的现金加了300,然后又试了一下输入一个负数,发现没有报错,也能玩。

BlackJack6.png

BlackJack7.png

这局输了,我的现金确加了100,说明他这个程序没有检查输入,我们去源码找一些相应函数。

BlackJack2.png

BlackJack1.png

首先找到play()函数,然后往下找,有个betting()函数,这个函数是获取你输入的bet值的,可以看到只检测了你输入的值不能大于cash,但是没有其他的限制,所以我们可以输入一个负数,然后play()判断输赢,也没有检测bet的值,而是直接用cashbet相加减,题意是将flag给百万富翁,我们只需要输入-1000000bet,然后故意输一局,就能得到flag

BlackJack8.png

pwnable-blackjack
网安星空
02-08 1245
pwnable.kr是一个经典的CTF中PWN方向练习的专业网站,本文记录的题目是blackjack,主要考察的是游戏类代码逻辑漏洞的利用。
pwnable.kr】0x02-collision Writeup
weixin_64667536的博客
08-20 530
拉取文件分析源码阅读源码后,执行样例测试输入2个参数1个参数,程序输出如下。
pwnableblackjack
pwd_3的博客
04-07 1147
pwnableblackjack 经典的21点游戏(黑杰克),然而本人并没有玩过,还要看看规则(┬_┬)。 从题目给的源代码网址(点击打开链接)下载它的代码,对它分析 int k;//发的牌的值 int l;//玩家增加的点数 int d;//电脑增加的点数 int won//赢的次数 int loss;//输的次数 int cash = 500;//初始现金 int bet;//你押的注
pwnable.kr---blackjack
leeham的博客
11-04 791
pwnable.krblackjack解题思路万万没想到这个题突破点在这里,我本想不看别人的writeup 独立做出这个题目的,但还是败给了自己,加油!
pwnable.krblackjack - 成为百万富翁(millionaire)
think_ycx的专栏
10-08 433
本关是一个blackjack游戏(21点),源码在这里https://cboard.cprogramming.com/c-programming/114023-simple-blackjack-program.html。   看了一下游戏规则,玩家和AI一起玩牌,起初有500块,首先下注,之后每次各自会收到一张随机的牌(点数1-13),最先达到21点的人赢。每次拿到牌之后,你可以选择hit...
pwnable.kr --- blackjack题解
Yannie's Blog
12-18 900
题目很有意思。是我们所熟悉的21点游戏。题目的意思是,当我们赢得100万的时候,我们就会get到flag,游戏代码较长放在文末: 其实这个游戏还是很好玩的,一拿到代码,我就首先怀疑会不会还是rand函数用同一个种子的问题,但是阅读了源代码发现并不是这个问题。 于是我就尝试输入了一些非法数据,发现程序对金钱的上限有限制,对下限没有限制。另外我们还注意到,在第二次输入的时候没有了前面的$符号,也就是说...
pwnable.kr】0x05-passcode Writeup
weixin_64667536的博客
08-30 587
Ubuntu-SSH连接根据目录信息拉取文件。
pwnable.kr】0x01-fd Writeup
weixin_64667536的博客
08-20 375
Ubuntu连接靶机(连不通的可以试一下proxychains)scp命令拷贝下fd源码文件。
pwnable.kr做题笔记(一)
has_zaoganmaqule的博客
08-12 2147
调用 `printf` 函数,`bl` 指令用于分支并链接,保存返回地址到链接寄存器 `lr`。- 将 `r4`, `r11`, 和 `lr` 寄存器的值压入栈中,用于保存函数调用前的状态。- 将 `r3` 的值(0)存储到 `r11` 指向的位置的偏移量 -16 处。- 如果 `r2` 和 `r3` 不相等,跳转到 `0x8da8` 地址处。- 调用 `scanf` 函数,`r0` 和 `r1` 作为参数传递。- 从 `r11` 指向的位置的偏移量 -16 处加载值到 `r3`。
pwnable.kr-fix
r00tnb的博客
02-28 948
前言 看似简单的改代码题,但是还是需要强大的汇编知识。花了很长时间,主要是自己对指令不是很熟悉。另外pwnable.kr的练习我会在另一个博客http://www.ktstartblog.top持续更新欢迎大家来踩。 分析 先分析源码fix.c #include <stdio.h> // 23byte shellcode from http://shell-storm...
一个blackjack游戏的演示程序的代码
04-11
一个blackjack游戏的演示程序的代码
Veriog——简易的BlackJack(21点)程序
简生小屋
08-12 5144
- BlackJack(21点)游戏 BlackJack即我们所熟悉的21点游戏,这是一种扑克牌游戏。 玩这个游戏需要一副扑克牌。从2个花到10个花的牌值就是牌花的点数,而A的牌值可以为1或者11. - Verilog实现思路: 参考J.BHASKER的《Verilog HDL入门》,实现思路如下: 程序的输入包括牌值信号card_value,位宽为4,发牌准备信号card_rd...
pwnable.krblackjack
river
05-17 2319
blackjack 这几天好忙,有点烦躁,这几天可能都没有什么时间刷题了。。。加油! 代码:http://cboard.cprogramming.com/c-programming/114023-simple-blackjack-program.html 拿到代码后,读代码….看题。 在代码中发现了这样一个函数,就是用户输入bet后,要判断一下,是不是大于500,如果大于500,就
pwntools的简单使用
Casuall的博客
09-20 9530
pwntools是一个CTF框架和漏洞利用开发库,用Python开发,旨在让使用者简单快速的编写exploit。 这里简单的介绍一下pwntools的使用。 首先就是导入包 from pwn import * 你将在全局空间里引用pwntools的所有函数。现在可以用一些简单函数进行汇编,反汇编,pack,unpack等等操作。 将包导入后,我一般都会设置日志记录级别,方便出现问题的时候排查错误...
pwnable.kr-bof WP
Casuall的博客
03-24 5777
pwnable.kr-bof   这道题是一个简单的缓冲器溢出的题,首先要做这道题要对函数调用栈有一定的了解。 函数调用栈是指程序运行时内存一段连续的区域,用来保存函数运行时的状态信息,包括函数参数与局部变量等。称之为“栈”是因为发生函数调用时,调用函数(caller)的状态被保存在栈内,被调用函数(callee)的状态被压入调用栈的栈顶;在函数调用结束时,栈顶的函数(callee)状态被弹出,栈...
Bugku-pwn4详解
Casuall的博客
07-14 4646
这道题来自bugku的第三道pwn题,pwn4。首先进行一些常规检查。 一个64位动态链接的程序,没有开什么保护。 然后用IDA打开,有个危险函数read,可以用来溢出。 shift + F12查看有没有可疑字符串,然后在字符串上按x查看引用他的地方,找到了一个system函数 但是system函数里面的字符串并不是我们想要的'/bin/sh',尝试用ROPgadget去搜索,命令为ROPg...
BugKu - pwn2
Casuall的博客
07-06 3881
这道题来自于bugku旧平台的第二道pwn题,还是比较简单的,一个典型的缓冲区溢出题。 首先查看一下文件类型,file pwn2,可以看到是64位的程序。然后用64位IDA打开,查看程序的逻辑。 可以看到这个程序的逻辑比较简单,有一个read函数,这个函数一个危险函数,可能引发缓冲区溢出漏洞。常见的危险函数还有gets、strcpy、sprintf、scanf等。 然后查看字符串,看看是否有内置...
攻防世界 Mary_Morto WP 三种解法
Casuall的博客
08-16 1800
Mary_Morto保护措施简介解题思路方法一:方法二:方法三: 来自于ASIS-CTF-Finals-2017的一道题,网上的wp都千篇一律,这里记录一下我的一些思路。 首先这道题可以从好几种方向去解,我这里介绍三种解法。 首先我们查看一下程序的保护措施,发现开启了Stack Canary和NX,RELRO和PIE没有开启。然后运行一下,提示选择我们的武器,第一个是栈溢出漏洞,第二个是格式化字符串漏洞,说明本题应该可以利用这个两个漏洞去解决问题。 保护措施简介 我们先简单的回顾一下这些保护措施是做什么用
攻防世界xctf-实时数据监测 wp
Casuall的博客
08-14 1430
本题是一个简单的格式化字符串漏洞的利用。先查看一些文件的信息,32位的程序,保护措施没有开。 用IDA查看一些伪代码,发现main函数里面只有一个locker函数,locker函数首先接受了一个字符串s,然后调用imagemagic函数,这个函数跟进去查看其实就是一个printf函数,最后比较key的值是不是为0x2223322,如果相等,返回shell,否则打印key的地址和值。 我们在本地运行一下看看,由于直接把key的地址告诉你了,所以本题的思路是找到格式化字符串地址的偏移,然后覆盖key的值。格
pwnable.kr bof
最新发布
09-16
### pwnable.kr bof题目概述 pwnable.kr 是一个著名的在线渗透测试练习平台,bof(Buffer Overflow,缓冲区溢出)题目是其中经典类型。缓冲区溢出通常是由于程序没有正确检查用户输入的长度,导致输入的数据超出了缓冲区的边界,从而覆盖相邻的内存区域,可能改变程序的执行流程。 ### 解题思路与步骤 #### 1. 环境准备 首先需要在本地搭建好调试环境,安装必要的工具,如`gdb`(GNU调试器)、`pwntools`(Python 库,用于编写漏洞利用脚本)等。例如,使用`pwntools`可以方便地与远程服务器进行交互。 ```python from pwn import * # 连接到远程服务器 p = remote('pwnable.kr', 9000) ``` #### 2. 分析程序 - **反汇编**:使用`objdump`或`gdb`对目标程序进行反汇编,查看程序的汇编代码,了解程序的逻辑和函数调用关系。例如,使用`objdump -d bof`可以得到程序的反汇编代码。 - **检查漏洞点**:重点关注程序中存在缓冲区操作的函数,如`gets`、`strcpy`等,这些函数通常不检查输入的长度,容易引发缓冲区溢出漏洞。 #### 3. 确定缓冲区大小 通过调试程序,向程序输入不同长度的数据,观察程序的行为,确定缓冲区的大小。可以使用`gdb`设置断点,在关键位置查看栈的状态。 ```python # 构造不同长度的测试数据 test_data = 'A' * 10 p.sendline(test_data) ``` #### 4. 覆盖返回地址 当确定了缓冲区大小后,构造恶意输入,覆盖程序的返回地址。返回地址是函数调用结束后程序要跳转执行的地址,通过覆盖它可以改变程序的执行流程。 ```python # 计算返回地址的偏移量 offset = 44 # 假设偏移量为 44 # 构造恶意输入 payload = 'A' * offset # 获取目标地址(如系统函数地址) target_address = p64(0xdeadbeef) payload += target_address p.sendline(payload) ``` #### 5. 利用漏洞执行任意代码 - **调用系统函数**:如果程序中存在可利用的系统函数(如`system`),可以通过覆盖返回地址,将程序的执行流程引导到这些函数上,并传入合适的参数(如`/bin/sh`),从而获得一个 shell。 - **ROP 链**:如果程序中没有合适的系统函数可以直接调用,可以使用 ROP(Return Oriented Programming,面向返回编程)技术,通过拼接多个小的代码片段(gadget)来实现复杂的功能。 ```python # 构造 ROP 链 rop = ROP(elf) # 查找合适的 gadget pop_rdi = rop.find_gadget(['pop rdi', 'ret'])[0] bin_sh = next(elf.search(b'/bin/sh')) system_addr = elf.symbols['system'] # 构造 ROP 链 rop.raw(pop_rdi) rop.raw(bin_sh) rop.raw(system_addr) # 构造最终的 payload payload = 'A' * offset + str(rop) p.sendline(payload) ``` ### 技术分析 #### 缓冲区溢出原理 缓冲区溢出是由于程序对输入数据的长度没有进行有效的检查,导致输入的数据超出了缓冲区的边界,覆盖了相邻的内存区域。在栈上,函数调用时会保存返回地址等信息,当缓冲区溢出发生时,返回地址可能被覆盖,从而改变程序的执行流程。 #### 栈布局与内存管理 了解栈的布局对于利用缓冲区溢出漏洞至关重要。栈是一种后进先出的数据结构,函数调用时会在栈上分配空间,保存局部变量、参数和返回地址等信息。通过调试和分析栈的状态,可以确定缓冲区的位置和返回地址的偏移量。 #### 保护机制绕过 现代操作系统和编译器通常会采用一些保护机制,如 ASLR(地址空间布局随机化)、Canary(栈保护)等,来防止缓冲区溢出漏洞的利用。在解题过程中,需要了解这些保护机制,并寻找相应的绕过方法。例如,对于 ASLR,可以通过泄露程序的基地址来绕过;对于 Canary,可以通过泄露 Canary 的值来绕过。 ### 总结 解决 pwnable.kr 的 bof 题目需要掌握缓冲区溢出的基本原理、调试技巧和漏洞利用技术。通过不断地练习和实践,可以提高对漏洞的分析和利用能力。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值