【pwnable.kr】random

最新推荐文章于 2025-12-11 09:43:23 发布
转载 最新推荐文章于 2025-12-11 09:43:23 发布 · 83 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:http://www.cnblogs.com/p4nda/p/7122275.html
文章标签:

#运维

本文解析了pwnable从入门到放弃第七题的具体解决方法,通过分析rand()函数的特性,利用gdb进行跟踪发现每次运行程序时的随机数为固定值0x6b8b4567。通过异或运算的可逆性,计算出正确的key值为0xb526fb88。

pwnable从入门到放弃第七题。

ssh random@pwnable.kr -p2222 (pw:guest)

目前为止做的最快的一道题... 

#include <stdio.h>

int main(){
    unsigned int random;
    random = rand();    // random value!
    //key = 0x6b8b4567
    unsigned int key=0;
    scanf("%d", &key);

    if( (key ^ random) == 0xdeadbeef ){
        printf("Good!\n");
        system("/bin/cat flag");
        return 0;
    }

    printf("Wrong, maybe you should try 2^32 cases.\n");
    return 0;
}

瞬间就看见了rand()函数,这个函数本身就是一个伪随机函数,没次运行这个程序,初始化后这个值都相同,用gdb跟踪了两次也都一样。

都是0x6b8b4567,。

异或函数也是可逆的,a^b = c ,a = c^b.

因此,需要输入的key就是0x6b8b4567^0xdeadbeef

就是0xb526fb88

但是需要注意的就是scanf("%d")只能接收十进制数,就用calc转换一下:

输入:

 

转载于:https://www.cnblogs.com/p4nda/p/7122275.html

pwnable.kr做题笔记(一)
has_zaoganmaqule的博客
08-12 2121
调用 `printf` 函数,`bl` 指令用于分支并链接,保存返回地址到链接寄存器 `lr`。- 将 `r4`, `r11`, 和 `lr` 寄存器的值压入栈中,用于保存函数调用前的状态。- 将 `r3` 的值(0)存储到 `r11` 指向的位置的偏移量 -16 处。- 如果 `r2` 和 `r3` 不相等,跳转到 `0x8da8` 地址处。- 调用 `scanf` 函数,`r0` 和 `r1` 作为参数传递。- 从 `r11` 指向的位置的偏移量 -16 处加载值到 `r3`。
pwnable.krrandom
river
05-03 1650
random 分析流程发现是输入的数字和rand函数随机生成的一个数字抑或一下,如果等于0xdeadbeef就可以得到flag 这道题目开始想着如何覆盖了,起初的思路是用输入v4去后面四个字节去覆盖v5,然后抑或得到0xdeadbeef,但是好像不行。为什么呢?局部变量之间不能覆盖吗?那为什么栈上的返回地址或者参数可覆盖啊? 感觉自己还没有找到最关键的东西。记录一下,
2021 祥云杯 pwn lemon_pwn
yongbaoii的博客
08-30 423
保护当然也是全开。 进去说有两个游戏,第一个游戏过了可以把flag写在栈上,然后我们就去看看第一个游戏。 输入一个数字,然后一顿操作,异或上一个随机数,然后跟那玩意相等。 显然有随机数我们根本猜不出来,但是注意到rand函数此时还并没有设置种子,那么rand出来的就应该是一个定值。 我们调了一下定值是0x6b8b4567 然后下面就是一个循环,那个循环其实也没啥用,因为就是在异或,所以最后就是上面那一堆得到的要么是那个定值,要么是定值的异或。 式子把输入的buf拆开,前四个字节跟后四个字节分开,我们可以让
HackTheBox之Overflow靶机
dzqxwzoe的博客
10-21 312
这是一台困难靶机,靶机内容主要考察了web漏洞利用,逆向,权限维持,提权等各个方面的内容,这个靶机非常适合入门逆向,并且对提升渗透思维帮助很大,我从中也获益良多。
pwnable 笔记 Toddler's Bottle - random
HiTaQini
11-04 989
random源码: 伪随机数random的值不会变,找到random的值与0xdeadbeef异或即可得到key rand = 0x6b8b4567 ans = 0xdeadbeef key = rand ^ ans #key = 3039230856
pwnable.kr random
you_need_me的博客
04-15 355
连接ssh random@pwnable.kr -p2222rand()生成一个随机数与key进行异或等于0xdeadbeefrand函数不是真正的随机数生成器,而srand()会设置供rand()使用的随机数种子。所以random的值固定的得到random和key的值,注意这里要在一样的系统下测试,不同系统下得到的随机值不同。得到flag...
pwnable.kr-random
Casuall的博客
03-21 459
pwnable.kr-random 这个是(https://pwnable.kr)中第6个题,比较简单。ssh连接后,直接运行里面可执行文件random,随便输入几个数,提示你应该尝试2的32次幂,直接看源码吧。 int main(){ unsigned int random; random = rand(); // random value! ...
pwnable.kr 简单题目详细笔记汇总
H4ppyD0g的博客
09-12 1392
pwnable.kr fd pwnable.kr collision pwnable.kr bof pwnable.kr flag pwnable.kr passcode pwnable.kr random pwnable.kr input pwnable.kr leg pwnable.kr mistake pwnable.kr shellshock pwnable.kr coin1 pwnable.kr lotto pwnable.kr cmd1 pwnable.kr cmd2 pwnable.kr u
pwnable.kr——random
xy_369的博客
05-10 88
【代码】pwnable.kr——random
pwnable.kr】Toddler‘s Bottle-[random]
weixin_45633243的博客
12-07 3431
目录导航Target & DownloadAnalysis & IDADebug & writeupTIPS Target & Download Daddy, teach me how to use random value in programming! ssh random@pwnable.kr -p2222 (pw:guest) scp 下载文件 scp -P 2222 -p random@pwnable.kr:/home/random/* ./ An
每日一题 pwnable.kr random
Kni9hT's Blog
08-28 320
这题cat random.c发现是一个简单的伪随机数 代码如下: #include <stdio.h> int main(){ unsigned int random; random = rand(); // random value! unsigned int key=0; scanf("%d", &am...
PWN random [pwnable.kr]CTF writeup题解系列6
重新启程
01-01 875
目录 0x01 题目 0x02 解题思路 0x03 题解 0x01 题目 0x02 解题思路 题目比较简单,直接贴出过程 root@mypwn:/ctf/work/pwnable.kr# ssh random@pwnable.kr -p2222 random@pwnable.kr's password: ____ __ __ ____ ____ ...
2025江西省职业院校技能“信创适配及安全管理“赛项解析答案
网络安全、网络建设与运维竞赛资料培训请联系主页
12-10 410
本文介绍了服务器基础配置流程,包括:1) 设置主机名和静态IP地址;2) 防火墙配置,启用firewalld服务并开放SSH、DNS、Redis、HTTP/HTTPS、数据库等端口;3) 设置root密码和配置SSH免密登录,支持RSA和SM2算法;4) 搭建主备DNS服务,实现正向和反向解析。这些配置为后续服务部署奠定了基础,确保网络通信安全可靠。
反向DNS查询与蜘蛛验证免费API接口详细教程
apihz的博客
12-10 987
本文介绍了由"接口盒子"提供的免费反向DNS查询API,可智能判断IP地址是否为搜索引擎蜘蛛。该接口通过反向DNS查询获取域名,与内置蜘蛛模式匹配,并进行双向DNS验证以提高准确性。支持GET/POST请求,返回JSON格式数据,包含IP、反向DNS记录、蜘蛛识别结果及验证状态等详细信息。提供了PHP和Python调用示例,适用于网站日志分析、流量过滤和安全防护等场景。该API免费、高效且可靠性高,注册后即可使用。
Onlyoffice Documentserver Docker 容器化部署指南
最新发布
java_logo的专栏
12-11 403
本文详细介绍了ONLYOFFICE DocumentServer的Docker容器化部署方案,涵盖基础部署、数据持久化、HTTPS配置及集成社区版部署等多种场景。通过Docker容器技术可快速搭建在线文档协作平台,支持主流Office文件格式的编辑与实时协作。文章重点阐述了环境准备、镜像拉取、容器配置等核心步骤,并提供生产环境优化建议,包括资源分配、安全加固、性能调优和高可用方案。同时针对常见故障给出了排查方法,确保部署过程顺畅。该方案兼顾易用性与安全性,适用于不同规模的企业文档协作需求。
Docker容器网络:从容器互联到跨主机通信
仕别三日的博客
12-11 363
渐进式配置# 开发环境:宽松限制# 测试环境:适中限制# 生产环境:严格控制监控与调整# 定期监控# 动态调整安全边界# 防止资源耗尽--pids-limit=100 # 进程数限制--ulimit nofile=1024:2048 # 文件描述符限制--read-only=true # 只读文件系统Docker容器网络和资源管理是现代容器化技术的两大支柱。通过本文的学习,你应该掌握了:容器互联机制:理解了传统--link的局限性和现代DNS-based服务发现的优势跨主机通信方案。
Cisco 200-901 DEVASC 認證考試
2503_94018152的博客
12-08 859
Cisco 200-901 DEVASC考试是Cisco DevNet Associate认证的核心科目,聚焦网络自动化、API开发及Cisco平台集成。考试涵盖软件开发、API应用、网络基础等6大领域,费用300美元,时长120分钟。该认证适合希望掌握网络自动化技能的IT人员,需具备Python基础,但无需实体设备。作为DevNet认证体系的入门级考试,200-901为工程师开启通往高级自动化认证的大门,符合当前IT行业向自动化转型的趋势。
【Docker实战】n8n容器如何访问宿主机ComfyUI?详解 host.docker.internal 与网络配置
聚梦小课堂
12-08 852
摘要:本文针对Docker环境下n8n无法访问本地ComfyUI等API服务的问题,详细解析了Docker网络隔离机制。核心解决方案是使用host.docker.internal域名代替127.0.0.1,并确保ComfyUI开启--listen参数监听所有网络接口。文章还提供了Windows/Mac/Linux全平台的配置方法,特别是Linux系统需要额外添加host映射。通过"改地址、改监听、查系统"三步操作,可实现n8n与本地服务的稳定连接。
pwnable.kr bof
09-16
### pwnable.kr bof题目概述 pwnable.kr 是一个著名的在线渗透测试练习平台,bof(Buffer Overflow,缓冲区溢出)题目是其中经典类型。缓冲区溢出通常是由于程序没有正确检查用户输入的长度,导致输入的数据超出了缓冲区的边界,从而覆盖相邻的内存区域,可能改变程序的执行流程。 ### 解题思路与步骤 #### 1. 环境准备 首先需要在本地搭建好调试环境,安装必要的工具,如`gdb`(GNU调试器)、`pwntools`(Python 库,用于编写漏洞利用脚本)等。例如,使用`pwntools`可以方便地与远程服务器进行交互。 ```python from pwn import * # 连接到远程服务器 p = remote('pwnable.kr', 9000) ``` #### 2. 分析程序 - **反汇编**:使用`objdump`或`gdb`对目标程序进行反汇编,查看程序的汇编代码,了解程序的逻辑和函数调用关系。例如,使用`objdump -d bof`可以得到程序的反汇编代码。 - **检查漏洞点**:重点关注程序中存在缓冲区操作的函数,如`gets`、`strcpy`等,这些函数通常不检查输入的长度,容易引发缓冲区溢出漏洞。 #### 3. 确定缓冲区大小 通过调试程序,向程序输入不同长度的数据,观察程序的行为,确定缓冲区的大小。可以使用`gdb`设置断点,在关键位置查看栈的状态。 ```python # 构造不同长度的测试数据 test_data = 'A' * 10 p.sendline(test_data) ``` #### 4. 覆盖返回地址 当确定了缓冲区大小后,构造恶意输入,覆盖程序的返回地址。返回地址是函数调用结束后程序要跳转执行的地址,通过覆盖它可以改变程序的执行流程。 ```python # 计算返回地址的偏移量 offset = 44 # 假设偏移量为 44 # 构造恶意输入 payload = 'A' * offset # 获取目标地址(如系统函数地址) target_address = p64(0xdeadbeef) payload += target_address p.sendline(payload) ``` #### 5. 利用漏洞执行任意代码 - **调用系统函数**:如果程序中存在可利用的系统函数(如`system`),可以通过覆盖返回地址,将程序的执行流程引导到这些函数上,并传入合适的参数(如`/bin/sh`),从而获得一个 shell。 - **ROP 链**:如果程序中没有合适的系统函数可以直接调用,可以使用 ROP(Return Oriented Programming,面向返回编程)技术,通过拼接多个小的代码片段(gadget)来实现复杂的功能。 ```python # 构造 ROP 链 rop = ROP(elf) # 查找合适的 gadget pop_rdi = rop.find_gadget(['pop rdi', 'ret'])[0] bin_sh = next(elf.search(b'/bin/sh')) system_addr = elf.symbols['system'] # 构造 ROP 链 rop.raw(pop_rdi) rop.raw(bin_sh) rop.raw(system_addr) # 构造最终的 payload payload = 'A' * offset + str(rop) p.sendline(payload) ``` ### 技术分析 #### 缓冲区溢出原理 缓冲区溢出是由于程序对输入数据的长度没有进行有效的检查,导致输入的数据超出了缓冲区的边界,覆盖了相邻的内存区域。在栈上,函数调用时会保存返回地址等信息,当缓冲区溢出发生时,返回地址可能被覆盖,从而改变程序的执行流程。 #### 栈布局与内存管理 了解栈的布局对于利用缓冲区溢出漏洞至关重要。栈是一种后进先出的数据结构,函数调用时会在栈上分配空间,保存局部变量、参数和返回地址等信息。通过调试和分析栈的状态,可以确定缓冲区的位置和返回地址的偏移量。 #### 保护机制绕过 现代操作系统和编译器通常会采用一些保护机制,如 ASLR(地址空间布局随机化)、Canary(栈保护)等,来防止缓冲区溢出漏洞的利用。在解题过程中,需要了解这些保护机制,并寻找相应的绕过方法。例如,对于 ASLR,可以通过泄露程序的基地址来绕过;对于 Canary,可以通过泄露 Canary 的值来绕过。 ### 总结 解决 pwnable.kr 的 bof 题目需要掌握缓冲区溢出的基本原理、调试技巧和漏洞利用技术。通过不断地练习和实践,可以提高对漏洞的分析和利用能力。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值