dice_game [XCTF-PWN][高手进阶区]CTF writeup攻防世界题解系列12

最新推荐文章于 2022-03-03 18:59:56 发布
原创 最新推荐文章于 2022-03-03 18:59:56 发布 · 1.9k 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#xctf #攻防世界 #ctf #pwn

本文是攻防世界CTF writeup系列的高手进阶篇,解析dice_game题目。通过分析C语言代码,发现需利用栈内溢出覆盖伪随机数种子。通过构造payload并利用Python脚本,成功解决题目,涉及知识点包括栈溢出和伪随机数处理。

题目地址:dice_game

从这篇开始就正式进入高手进阶区,一些简单的知识点我这里就不会再重复赘述了,请有需要的同学看前面的章节。

废话不多,看看题目

题目没什么提示,只是知道这个题目的来源是:XCTF 4th-QCTF-2018

下载附件,看看情况,照例做下保护机制检查

root@mypwn:/ctf/work/python/dice_game# checksec dice_game
[*] '/ctf/work/python/dice_game/dice_game'
    Arch:     amd64-64-little
    RELRO:    Full RELRO
    Stack:    No canary found
    NX:       NX enabled
    PIE:      PIE enabled

打开了各种限制条件,作为难度为1的题目,感觉有点吓唬人哩!

没事,先做下反编译

高手进阶区的题目,我会先对反编译之后的c语言代码做下命名修改,方便同学们可以快速理解,要不然v1、v2这种变量函数命名对于复杂题目的快速判断会造成不小的干扰。

下面我就直接把我已经修改好命名的c语言代码贴出来,这个程序主要有三个函数,我按照函数的意义进行了重命名,分别是main, go_game, get_flag。

先看下main函数:

__int64 __fastcall main(__int64 a1, char **a2, char **a3)
{
  char szName[55]; // [rsp+0h] [rbp-50h]
  char nResultGame; // [rsp+37h] [rbp-19h]
  ssize_t nLenName; // [rsp+38h] [rbp-18h]
  unsigned int seed[2]; // [rsp+40h] [rbp-10h]
  unsigned int nRound; // [rsp+4Ch] [rbp-4h]

  memset(szName, 0, 0x30uLL);
  *(_QWORD *)seed = time(0LL);
  printf("Welcome, let me know your name: ", a2);
  fflush(stdout);
  nLenName = read(0, szName, 0x50uLL);
  if ( nLenName <= 49 )
    szName[nLenName - 1] = 0;
  printf("Hi, %s. Le
最低0.47元/天 解锁文章
攻防世界pwn——dice_game
qq_62076255的博客
12-19 626
攻防世界pwn——dice_game做题记录
攻防世界-pwn dice_game(栈内变量覆盖)
菜的只能随便写写博客
10-09 767
  0x01 检查文件  下载附件之后获得两个文件,一个可执行文件和一个libc,初步理解要使用libc。 64位elf 无栈保护 动态链接   0x02 程序分析  根据程序运行分析,程序应该是要求猜数字,连续答对50轮可获得flag。   0x03 IDA结构分析  从里面分析,可以看到程序的结构,while循环里面是猜数字的流程,一共50轮,并可以注意到18行设置了随机数的种子。...
pwn dice_game
weixin_44319142的博客
05-02 594
dice_game 又是seed from pwn import * from ctypes import * context.log_level='debug' libc = cdll.LoadLibrary("libc.so.6") p = process('./dice_game') #p = remote("111.198.29.45",56813) p.recvuntil(" ...
攻防世界 Pwn dice_game
MrTreebook的博客
12-18 413
攻防世界 Pwn dice_game1.题目下载地址2.checksec3.IDA分析4.exp 1.题目下载地址 点击下载 2.checksec 没有canary,可能是简单的栈溢出 3.IDA分析 在sub_A20()中可以看出v2是一个通过种子生成的 1~6 的 随机数 之前有做过类似的题,只要控制种子即可预测随机数 在read函数处有栈溢出的漏洞 在下面看到需要连续答对50次才可以获取flag 那么我们构造的思路就是利用这个溢出点覆盖seed从而预测随机数 4.exp from pwn im
pwn_dice_game
weixin_44464829的博客
10-31 336
常规操作:checksec dice_game 发现文件是64位 放入ida中看c的伪代码: 这是一个猜数字的题,之前有做过类似的题,目的是覆盖seed,使随机数再随机产生 点开sub_A20()看看随机数怎么构造的: 可以看到rand()%6+1线性同余的方式生成随机数,下一步就是想要覆盖掉种子位置上的值 看一下种子的位置: buf是我们可以写 入数据的缓冲,通过read函数写入,这又是经典的栈溢出漏洞 0x50-0x10=0x40 因为附件解压后有两个文件,其中一个是l
[攻防世界 pwn]——dice_game
Y_peak的博客
02-20 413
[攻防世界 pwn]——dice_game 题目地址: https://adworld.xctf.org.cn/ 题目: 思路 该题和前面的guess_num差多, 可以点击查看 请点击。这道题是, 利用输入的name将seed覆盖,使得后面产生的随机数随机。 注意在Linux上面运行, window和Linux上面产生的随机数一样 exploit from pwn import * from LibcSearcher import * p=remote("111.200.241.244",
攻防世界 PWN 高手进阶 dice_game (write up)
qq_44768749的博客
08-18 559
攻防世界 PWN 高手进阶 dice_gamedice_game0x01 查看保护机制0x02 反汇编main:sub_A20():sub_B28():0x03利用过程功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 dice_ga
攻防世界高手进阶——dice_game
weixin_62675330的博客
02-19 2552
攻防世界高手进阶——dice_game 题目里面啥都没有。 一.分析文件 checksec 只有栈溢出保护关闭了,其他都是开着的。 运行 可以看出是要猜数字,猜对50次。 ida逆向 __int64 __fastcall main(int a1, char **a2, char **a3) { char buf[55]; // [rsp+0h] [rbp-50h] BYREF char v5; // [rsp+37h] [rbp-19h] ssize_t v6; // [
功防世界dice_game
weixin_34190136的博客
05-03 320
buf 长度最长为 0x50 但是当输入大于 49 的时候会被截断,所以我们只要覆盖到之前的 seed 就可以为所欲为了。 同时注意到 seed 跟 buf 相差的偏移是 0x40,所以只要 68 个字符就可以溢出覆盖 seed 了。 Exploit 由于担心 python 的 randint 实现跟 libc 的太一样,所以我写了个小程序 在vim编译运行.c文件步骤:...
adworld pwn dice_game分析
qq_39596232的博客
06-16 356
由于考研等种种原因,好久没有看pwn题了,这两天熟悉了一下,继续研究哈 这次分析的是攻防世界上的pwn练习题dice_game,可能太久没看pwn题了,已经有点忘记思路了,今天就当回顾一下啦 首先我们在ubuntu中看一下可执行文件基本信息: 没有canary保护,启用了栈可执行,pie保护措施。64bit的elf文件,并且stripped 我们先尝试运行一下,看看程序功能,然后直接丢进IDA,分析代码: 主函数是这样的,我们可以明显地发现存在缓冲溢出漏洞,开始的时候我在想能..
DiceCTFDice CTF事件中的文件
02-09
DiceCTF
[XCTF-pwn] 5-dice_game
weixin_52640415的博客
03-03 692
pwn都关系大,连续答对50个随机数即可。 分两步:先按他的种子生成随机数 #include <stdio.h> #include <stdlib.h> int main(){ unsigned int seed; seed = 0x30303030; srand(seed); for(int i=0;i<50;i++)printf("%d\n", rand()); return 0; } 然后用这输入这些随机数就能
dice_game攻防世界进阶
shanwei274的博客
04-10 1967
dice_game XCTF 4th-QCTF-2018 前言,说,虽然是个简单题但是还是要记录一下,来让自己记住这些东西。 考察的知识点是: 1.cdll_loadlibrary加载对应库使得Python可以使用c的函数。 2.关于srand函数中种子的介绍。 3.一些平时没有见过的杂项 保证我写的很详细,因为我也是个菜鸡 ----第一步查看保护喽 第一眼就很恐怖嗷,居然就只有canary没有开,其他的全开,got表也能修改,我就很痛苦嗷 ----第二步ida看看 main函数这里要说的呢 1
攻防世界 dice_game
qq_25044201的博客
01-19 411
ida分析一下 感觉这个题目似曾相识,翻了翻博客是猜数那道题 这是当时那道题的脚本,但是如果一个个输50个数那么就太麻烦了。所以我们引用新的知识,我们知道现在都是动态链接,好多函数在链接前已经存在,所以在python我们调用动态链接库函数的功能的库是ctypes库,当然 下载的附件有个libs库我们可以调用ctypes的函数cdll的LoadLibrary函数 和猜数几乎一样 所以具体的我就多说了 ...
XCTFdice_game write up
4ut15m's blog
10-15 490
未经授权请勿转载,谢谢。 个人博客:http://ank.4ut15m.com/anicekid/20191005/%e3%80%90xctf%e3%80%91dice_game-write-up/ 1.题目 运行如下: 运行结果 可知,这是一个猜测随机数的程序,需要猜中50次。 检查保护如下: 程序保护 除了Canary之外都开了,估计便是栈溢出。 程序信息如下: ...
攻防世界dice_game(pwn)
CTF小白的博客
05-08 4886
dice_game 题目考察:rand()生成的随机数和随机种子seed()有关,通过观察题目,可以发现存在溢出漏洞,通过输入可以覆盖到seed(),实现一个可预测的随机数列。 题目分析 这边就可以看到,buf覆盖0x40位就能覆盖到seed。 sub_A20()如下,就是比较你输入的数是否和产生的随机数相等。 当回答正确50次时,会执行sub_B28这个函数,读取flag。 所以我们要做...
170913 逆向-问鼎杯题库(dice game
whklhhhh的博客
09-13 1188
1625-5 王子昂 总结《2017年9月12日》 【连续第345天总结】 A. 问鼎杯题库-逆向两题 B.Beat our dice game and get the flagC++写的,无壳 运行提示要求掷五次骰子,需要结果为3-1-3-3-7 很明显,是正常运行下可能出现的结果除了Enter外接受输出,观察IDA 发现进行了大量处理,但没有字符串的显示,说明这里要是混淆要
杭电ctf--Beat our dice game and get the flag
Air_cat的博客
08-22 690
题目连接:http://sec.hdu.edu.cn/upload/attachment/2018/9/41b825e7-0b96-405d-b709-0292c292b3d0.rar 首先,这道题拿到手中,先在od和ida中分别加载,查串一次;而在od中就可以看到比较明显的提示: 可以推断,这题的目的应该是让我们通过动态调试而达到最后的3-1-3-3-7的结果(即掷出这些点数的色子)。 而通...
攻防世界(Pwn)dice_game, 栈溢出覆盖srand种子
半岛铁盒的博客
03-05 1537
说明 这其实是一种类型题,新手刚开始会碰到,题目大致过程是 有个srand()的随机函数.需要覆盖 seed种子 即srand(seed) 把 seed 覆盖为一个固定的数 , srand 就是伪随机函数了, 题目会有个猜数循 环,比如猜对了20次flag就有了,和这道题类似的题目还有新手的guess_num 解题 点进去read中的 buf; EXp from pwn import * from ctypes import * p=remote('111.200.241.244','38
dice_game XCTF
最新发布
01-14
Dice GameXCTF 竞赛中的一道 PWN 类型题目,该二进制文件具有特定的安全特性配置。通过 `checksec` 工具检测发现此程序启用了完整的RELRO和NX位,但是未启用栈 Canary保护措施,并且支持PIE地址空间布局随机化[^...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值