dahuan_GuessNumber
随机数
大欢出的一道屎题、不过也算很有意思了。
核心思想就是进入一个func函数中,连续猜对20次数字便可以进入到一个叫做flag()的函数里
flag函数就是一个获取buf,然后把你输入的buf放入system里面来运行的玩意。而且没有可供栈溢出的空间。
在把buf传给system之前会有一个filter函数,这个里面会用str来对比字符串,如果我输入的东西里面有什么值被程序制作着定义为“不可以输入的”那么就会直接退出程序:
简直就是把可以禁用的全禁用了。
猜数字其实才是要记录的核心,就是用LibcSearcher库里面的cdll.LoadLibrary函数。因为我们的srand使用的time函数,是在题目所诞生的环境里诞生的。按照道理同一个环境的电脑同一时刻用time(0)作为种子生成出来的随机数一定是一样的。所以我们用附件里面的libc来生成随机数即可。
exp:
1 | from pwn import * |
至于怎么找到flag嘛…
./flag即可
别问,最狗屎的答案,是大欢和我的两个蠢人灵机一动搞出来的
嘻嘻
本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来源 Kanyo’s Blogs!
给我来杯咖啡
个人微信
相关推荐
2025-07-25
main_dahuan01
其他类型 这个是大欢老师给我的一道金科师傅的题目,让我做着玩,非常有趣。然后因为这个是前辈写的小玩意,我可能在写wp的时候会骂脏话,不过我会用*号替代大部分的。 先checksec一下看一下大概吧。 一道保护全开的题目,但是一般这种保护全开的题目要么很简单,要么就是难到完全做不了。不过大概率是前者。 大概玩了一下这个程序,是一个类似于银行系统,可以注册登录,存钱取钱。 首先打开IDA之后,要对代码逐步分析。特别是把里面的变量名改一下。就从register存钱的这个函数开始: 根据上下文,读懂代码之后很快就可以把大部分变量名给改好了,然后我们再去看有后门的函数menu,再对里面的一些变量名重新命名,这下我们大概就能看懂代码了。 我们了解一下,后门函数的触发条件是当uid==11451419的时候,就会触发。然后通过reg函数和save函数,大概可以看出来,每次我注册的的时候,uid就会++。也就是当我注册第11451419个账户的时候,我就可以很自然的获得管理员权限。 所以第一种解决方案就是注册11451419个账户。很显然这个非常的愚蠢而且不实际…不...
2025-07-25
shellcode1_dahuan02
Shellcode、ORW 依旧是大欢老师给的shellcode题目。 checksec一下,里面大概是这样的。 一些保护其实可以通过逆向后的代码看出来。不过我们依旧按照正常流程走一遍就好了,也花不了什么时间,就是大概了解一下。 直接看代码: 我们在编译main函数的时候会触发一个问题,他说这个0x40133B这一行(也就是call rdx)这里有问题。我们先看一下这几句话吧。 这边大概可以看到,在read函数之后,程序有一个jle指令(jle是jump if less or equal,小于等于时候跳转),也就是跳转。跳转到下面之后会报一个stack_chk_fail的错误,也就是什么栈检测报错。反正我们就把它当作一个栈保护就行了,也就是说我们最好不要跳转。再回到上面报错的这一行,是一个call rdx…也就是执行rdx里面的内容。 怪不得报错呢,因为这一行直接执行相当于一个call指令,但是没有call任何的函数,而是一个寄存器,所以我们没有办法把他反编译成伪C里面的“调用了什么函数”如此这般的写法。 所以我们选中这一句call rdx,右键给他暂时不反编译就好了:...
2025-07-25
[NewStarCTF 2023 公开赛道]shell code revenge
特殊shellcode https://buuoj.cn/challenges#[NewStarCTF%202023%20%E5%85%AC%E5%BC%80%E8%B5%9B%E9%81%93]shellcode%20revenge 这道题有点像我之前做过的mrctf的shellcode的revenge。不过范围不一样。 大概看一下,把所有的大写字母和数字都排除在外了,意思是只要输入大写字母和数字就不会被break——跳出。 所以我们要创造一个只有大写字母和数字的shellcode? 然后我也懒得checksec了,而且用的是rsp——也就是64位。开了一些保护啥的,反正jumpout到的66660000h这个地址在上面的mmap里面写入了权限’7’(第三参数),也就是可读可写可执行。 整个代码的逻辑是:出现Show me your magic之后,进入一个for循环,for循环一开始会有一个read让我们输入数据,因为是一个char类型指针buf,每次读取一个值。然后下面的strncpy()会把我们一个一个输入的buf存到src里面的src复制到我们的0x6666000...
2025-07-25
ciscn_2019_s_9
Shellcode 栈溢出 https://buuoj.cn/challenges#ciscn_2019_s_9 首先checksec一下,看一下大概内容: IDA打开之后,发现有一个后门函数hint,逻辑如下: 使用此函数的时候,执行esp里面的内容(使用了jmp),我们不需要这些上面什么乱七八糟的东西,我们只需要.text里面的0x08048554的jmp esp就行了。先记下来这是我们可以利用的漏洞。 然后这里是程序唯一一个输入口,也就是说大概率这里有漏洞: 他首先可以让我输入32h的内容,不过通过伪C代码(其实汇编也能看到),这个字符串的长度只有24。也就是说可以构造栈溢出,这个就很简单了。那么我现在构造含有shellcode这样的一个payload: 所以说,大概代码如下: 12345678910111213141516171819202122from pwn import*context(log_level = 'debug', arch = 'i386', os = 'linux')p = re...
2025-07-25
easy-shellcode
类型:shellcode、栈溢出 https://www.qsnctf.com/ 题目叫做:Easy_Shellcode 输入然后栈中执行,一开始的时候会输出v4的地址。 PIE每次会随机地址,但是按照人类逻辑的最前面三位不动。通过0x7ff将后面的值全部获取。再return到这里执行shellcode即可。 exp: 123456789101112131415161718192021222324from pwn import *context(log_level = 'debug', arch = 'amd64', os = 'linux')ip='challenge.qsnctf.com'port=34976file_addr = './easy-shellcode'p = remote(ip,port)# p = process(file_addr)elf = ELF(file_addr)v4_addr=int(p.recvline()[2:],16)print(...
2025-07-25
inndy_rop
ROP-ret2syscall 栈溢出 https://buuoj.cn/challenges#inndy_rop 开了栈堆执行保护,有很多函数应该是静态链接,然后main函数里面有一个overflow,纯粹的小栈溢出。 这道题的思路大概是这样的:通过不断地创造return,跳转,来执行很多语句。 我们的目的是执行一个execv(“/bin/sh”),首先先要塞入/bin/sh,通过read函数来塞入到.bss段,然后再通过execv(.bss_addr)的内容即可. .bss段有好多空缺的部分啊,随便找个地址吧:bss_addr = 0x080EC010 然后让我们回忆一下这几个参数:首先int 0x80是syscall的作用,第一参数为eax,也就是调用int 0x80对应的函数。例如read是0x03,execv是0x0b 然后read和execv都有三个参数,在系统中,某个函数的第一参数是ebx,第二参数是ecx,第三参数是edx。如果加上int 0x80的用于选择调用系统函数的第一参数的话,上面就分别是第二参数到第四参数...
