【Pwnable.kr】 第五题 random

最新推荐文章于 2024-08-30 09:23:04 发布
原创 最新推荐文章于 2024-08-30 09:23:04 发布 · 385 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文解析了Pwnable.kr平台上的随机数题目,揭示了rand()函数的默认行为,即在未调用srand()时,系统将srand()自动初始化为1。通过C语言测试程序确认了这一行为,并提供了利用该特性的解题思路。

Pwnable.kr】 第六题 random

源代码:

#include <stdio.h>

int main(){
	unsigned int random;
	random = rand();	// random value!

	unsigned int key=0;
	scanf("%d", &key);

	if( (key ^ random) == 0xdeadbeef ){
		printf("Good!\n");
		system("/bin/cat flag");
		return 0;
	}

	printf("Wrong, maybe you should try 2^32 cases.\n");
	return 0;
}

解题经过

在这里虽然没有可以造成栈溢出的输入,但是查询百度之后发现:

函数rand()是真正的随机数生成器。而srand()会设置供rand()使用的随机数种子。
假设你在第一次调用rand()之前没有调用srand(),那么系统会为你自己主动调用srand()。并且自动赋值为1

所以用C写了一个测试程序

#include <stdio.h>

int main(){
   unsigned int r;
   r = rand();
   printf("%d\n",r);
   return 0;
}

其结果是
在这里插入图片描述
所以只要用0xdeadbeef ^ 1804289383 就是我们要输入的内容
在这里插入图片描述

pwnable.krrandom
river
05-03 1650
random 分析流程发现是输入的数字和rand函数随机生成的一个数字抑或一下,如果等于0xdeadbeef就可以得到flag 这道目开始想着如何覆盖了,起初的思路是用输入v4去后面四个字节去覆盖v5,然后抑或得到0xdeadbeef,但是好像不行。为什么呢?局部变量之间不能覆盖吗?那为什么栈上的返回地址或者参数可覆盖啊? 感觉自己还没有找到最关键的东西。记录一下,
pwnable.kr笔记(一)
has_zaoganmaqule的博客
08-12 2113
调用 `printf` 函数,`bl` 指令用于分支并链接,保存返回地址到链接寄存器 `lr`。- 将 `r4`, `r11`, 和 `lr` 寄存器的值压入栈中,用于保存函数调用前的状态。- 将 `r3` 的值(0)存储到 `r11` 指向的位置的偏移量 -16 处。- 如果 `r2` 和 `r3` 不相等,跳转到 `0x8da8` 地址处。- 调用 `scanf` 函数,`r0` 和 `r1` 作为参数传递。- 从 `r11` 指向的位置的偏移量 -16 处加载值到 `r3`。
pwnable.kr-random-Writeup
airfish20000的博客
02-08 439
MarkdownPad Document pwnable.kr-random-Writeup 与前几套路相同,ssh远程登录,ls -l查看文件及权限,cat获得C代码如下: 1 #include 2 3 int main(){ 4 unsigned int random; 5 random = rand(); // random va
pwnable.kr第五:passcode
10-04 265
0x000打开环境 ①查看源码: 1 #include 2 #include 3 4 void login(){ 5 int passcode1; 6 int passcode2; 7 8 printf("enter passcode1 : "); 9 scanf("%d"...
pwnable.krrandom
think_ycx的专栏
07-09 347
downloadscp -P 2222 -p random@pwnable.kr:/home/random/* ./程序输入用scanf %d 读取一个signed int和rand()异或,如果结果为0xdeadbeef进入system流程。由于rand()调用前没有调用srand(),因此产生的结果可以认为是不变的。 关于异或:A ^ B = C -&gt; A ^ C = B -&gt; ...
pwnable.kr】0x02-collision Writeup
weixin_64667536的博客
08-20 510
拉取文件分析源码阅读源码后,执行样例测试输入2个参数1个参数,程序输出如下。
pwnable.kr】0x01-fd Writeup
weixin_64667536的博客
08-20 348
Ubuntu连接靶机(连不通的可以试一下proxychains)scp命令拷贝下fd源码文件。
pwnable.kr】0x05-passcode Writeup
weixin_64667536的博客
08-30 568
Ubuntu-SSH连接根据目录信息拉取文件。
pwnable.kr解之uaf
Yale的博客
06-19 762
前言: 这道目反应了uaf的基本原理,pwn入门必做的目,如果这一块了解的不够透彻,直接去打现在涉及各种奇技淫巧的pwn,肯定会被绕晕掉。所以为了照顾萌新(其实是我自己菜)把这道目单独拿出来写一下。 这是一道uaf的目,把二进制文件拉到本地来研究 在分析前,先简单说一下c++的虚函数和uaf的前置知识 在c++中,如果类中有虚函数,那么这个类就会有一个虚函数表的指针vfptr,而子类会继承。 uaf的原理: 在释放内存后未将指向原内存的指针置为null,use after free的意思就是在释
pwnable.kr [random]
shisuan1的博客
11-25 238
pwnable.kr [random] Daddy, teach me how to use random value in programming! ssh random@pwnable.kr -p2222 (pw:guest) 代码如下 #include &lt;stdio.h&gt; int main(){ unsigned int random; ra...
pwnable.kr-random
qq_35661990的博客
09-10 267
找到flag所在位置,想得到flag需要key ^(异或) random = 0xdeadbeef 异或运算:同一位上,相同为1,不同为0 1 1 1:0 0 1:1 0 0:0 1 0 从异或的四种情况可以看出,任意两个位异或等于第三个位 计算机中的rand()函数是伪随机,在标准的C库中函数rand()可以生成0~RAND_MAX之间的一个随机数,其中RAND_MAX 是stdlib...
pwnable.kr [Toddler's Bottle] - random
Re:Umiade.tr
03-13 539
c语言中取随机数函数rand()为伪随机,需要依赖srand()提供的随机数种子seed。如果每次seed都设相同值,rand()所产生的随机数值每次就会一样。没有置随机数种子直接调用rand(),得到的结果也是一样。 目源码如下:/* ssh random@pwnable.kr -p2222 (pw:guest) */ #include <stdio.h>int main(){ uns
pwnable krrandom
Maxmalloc的博客
09-22 355
(gdb) disass main Dump of assembler code for function main: 0x00000000004005f4 &lt;+0&gt;: push %rbp 0x00000000004005f5 &lt;+1&gt;: mov %rsp,%rbp 0x00000000004005f8 &lt;+4&gt;: sub $...
pwnable.kr-----过程】random
lyuchen65的博客
09-16 1197
#include int main(){ unsigned int random; random = rand(); // random value! printf("%u",random); unsigned int key=0; scanf("%d", &key); if( (key ^ random) == 0xdeadbeef ){ printf("Good!\n")
pwnable.kr random
you_need_me的博客
04-15 354
连接ssh random@pwnable.kr -p2222rand()生成一个随机数与key进行异或等于0xdeadbeefrand函数不是真正的随机数生成器,而srand()会设置供rand()使用的随机数种子。所以random的值固定的得到random和key的值,注意这里要在一样的系统下测试,不同系统下得到的随机值不同。得到flag...
pwnable.kr bof
最新发布
09-16
### pwnable.kr bof目概述 pwnable.kr 是一个著名的在线渗透测试练习平台,bof(Buffer Overflow,缓冲区溢出)目是其中经典类型。缓冲区溢出通常是由于程序没有正确检查用户输入的长度,导致输入的数据超出了缓冲区的边界,从而覆盖相邻的内存区域,可能改变程序的执行流程。 ### 解思路与步骤 #### 1. 环境准备 首先需要在本地搭建好调试环境,安装必要的工具,如`gdb`(GNU调试器)、`pwntools`(Python 库,用于编写漏洞利用脚本)等。例如,使用`pwntools`可以方便地与远程服务器进行交互。 ```python from pwn import * # 连接到远程服务器 p = remote('pwnable.kr', 9000) ``` #### 2. 分析程序 - **反汇编**:使用`objdump`或`gdb`对目标程序进行反汇编,查看程序的汇编代码,了解程序的逻辑和函数调用关系。例如,使用`objdump -d bof`可以得到程序的反汇编代码。 - **检查漏洞点**:重点关注程序中存在缓冲区操作的函数,如`gets`、`strcpy`等,这些函数通常不检查输入的长度,容易引发缓冲区溢出漏洞。 #### 3. 确定缓冲区大小 通过调试程序,向程序输入不同长度的数据,观察程序的行为,确定缓冲区的大小。可以使用`gdb`设置断点,在关键位置查看栈的状态。 ```python # 构造不同长度的测试数据 test_data = 'A' * 10 p.sendline(test_data) ``` #### 4. 覆盖返回地址 当确定了缓冲区大小后,构造恶意输入,覆盖程序的返回地址。返回地址是函数调用结束后程序要跳转执行的地址,通过覆盖它可以改变程序的执行流程。 ```python # 计算返回地址的偏移量 offset = 44 # 假设偏移量为 44 # 构造恶意输入 payload = 'A' * offset # 获取目标地址(如系统函数地址) target_address = p64(0xdeadbeef) payload += target_address p.sendline(payload) ``` #### 5. 利用漏洞执行任意代码 - **调用系统函数**:如果程序中存在可利用的系统函数(如`system`),可以通过覆盖返回地址,将程序的执行流程引导到这些函数上,并传入合适的参数(如`/bin/sh`),从而获得一个 shell。 - **ROP 链**:如果程序中没有合适的系统函数可以直接调用,可以使用 ROP(Return Oriented Programming,面向返回编程)技术,通过拼接多个小的代码片段(gadget)来实现复杂的功能。 ```python # 构造 ROP 链 rop = ROP(elf) # 查找合适的 gadget pop_rdi = rop.find_gadget(['pop rdi', 'ret'])[0] bin_sh = next(elf.search(b'/bin/sh')) system_addr = elf.symbols['system'] # 构造 ROP 链 rop.raw(pop_rdi) rop.raw(bin_sh) rop.raw(system_addr) # 构造最终的 payload payload = 'A' * offset + str(rop) p.sendline(payload) ``` ### 技术分析 #### 缓冲区溢出原理 缓冲区溢出是由于程序对输入数据的长度没有进行有效的检查,导致输入的数据超出了缓冲区的边界,覆盖了相邻的内存区域。在栈上,函数调用时会保存返回地址等信息,当缓冲区溢出发生时,返回地址可能被覆盖,从而改变程序的执行流程。 #### 栈布局与内存管理 了解栈的布局对于利用缓冲区溢出漏洞至关重要。栈是一种后进先出的数据结构,函数调用时会在栈上分配空间,保存局部变量、参数和返回地址等信息。通过调试和分析栈的状态,可以确定缓冲区的位置和返回地址的偏移量。 #### 保护机制绕过 现代操作系统和编译器通常会采用一些保护机制,如 ASLR(地址空间布局随机化)、Canary(栈保护)等,来防止缓冲区溢出漏洞的利用。在解过程中,需要了解这些保护机制,并寻找相应的绕过方法。例如,对于 ASLR,可以通过泄露程序的基地址来绕过;对于 Canary,可以通过泄露 Canary 的值来绕过。 ### 总结 解决 pwnable.kr 的 bof 目需要掌握缓冲区溢出的基本原理、调试技巧和漏洞利用技术。通过不断地练习和实践,可以提高对漏洞的分析和利用能力。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值