pwnable.kr [Toddler's Bottle] - coin1

Mommy, I wanna play a game!
(if your network response time is too slow, try nc 0 9007 inside pwnable.kr server)

Running at : nc pwnable.kr 9007

游戲規(guī)則如下：

    ---------------------------------------------------
    -              Shall we play a game?              -
    ---------------------------------------------------
    
    You have given some gold coins in your hand
    however, there is one counterfeit coin among them
    counterfeit coin looks exactly same as real coin
    however, its weight is different from real one
    real coin weighs 10, counterfeit coin weighes 9
    help me to find the counterfeit coin with a scale
    if you find 100 counterfeit coins, you will get reward :)
    FYI, you have 30 seconds.
    
    - How to play - 
    1. you get a number of coins (N) and number of chances (C)
    2. then you specify a set of index numbers of coins to be weighed
    3. you get the weight information
    4. 2~3 repeats C time, then you give the answer
    
    - Example -
    [Server] N=4 C=2    # find counterfeit among 4 coins with 2 trial
    [Client] 0 1        # weigh first and second coin
    [Server] 20         # scale result : 20
    [Client] 3          # weigh fourth coin
    [Server] 10         # scale result : 10
    [Client] 2          # coun
terfeit coin is third!
    [Server] Correct!

就是在30秒內(nèi)田弥，以給定的輸入次數(shù)完成游戲 100 次涛酗，即 100 次找到 N 枚硬幣中的 1 枚次品。
對(duì)于輸入下標(biāo)對(duì)應(yīng)的硬幣是否合格偷厦，主要看返回的weight末位數(shù)字是 0 （合格）還是 9 （含不合格）就可以了商叹；直接輸入當(dāng)然不現(xiàn)實(shí)，可以簡(jiǎn)單地用二分法處理沪哺，連接服務(wù)器并跑出 flag 沈自。人生苦短我用Python :P

這里還有一個(gè)問題酌儒，筆者一開始通過 pwn 庫寫腳本遠(yuǎn)程連接該服務(wù)器辜妓，無論怎么改進(jìn)算法，最多跑出 8 次就到 30 秒的時(shí)限忌怎。所以如果不是在服務(wù)器本地跑（HOST = 0）一般是肯定來不及的籍滴，這里網(wǎng)絡(luò)延遲的影響遠(yuǎn)遠(yuǎn)大于算法效率。

所以我們得先登錄到pwnable.kr榴啸，任選一個(gè)之前連接過的用戶登錄孽惰，到 /tmp 目錄下創(chuàng)建自己的目錄，放上腳本即可鸥印。另外由于服務(wù)器上沒有 pwn 或者 zio 庫勋功，只能手打 socket 連接：



import re
from socket import *


# func: get output str of numbers between inv
def getInv(inv):
    invList = []
    split = ' '
    for i in range(inv[0], inv[1]):
        invList.append(str(i))        
    return split.join(invList)

# server addr info
HOST = '0'  # local at pwnable.kr
PORT = 9007
ADDR = (HOST, PORT)
BUFSIZE = 1024

clientSocket = socket(AF_INET, SOCK_STREAM)
clientSocket.connect(ADDR)

# start: [Server]: N=? C=?
startPattern = re.compile(r'^N=(\d*)\sC=(\d*)$');
# step: [Server]: ***0 (qual)
qualPattern = re.compile(r'^(\d*0)$');
# step: [Server]: ***9 (unqual)
unqualPattern = re.compile(r'^(\d*9)$');

curInv = None  # current interval
preInv = None  # previous interval

while True:
    data = clientSocket.recv(BUFSIZE)
    print data

    match1 = startPattern.match(data)  
    match2 = qualPattern.match(data)  
    match3 = unqualPattern.match(data)  
    
    if match1:  # match startPattern
        curInv = (0, int(match1.group(1))/2) 
        preInv = (0, int(match1.group(1))) 
        print getInv(curInv)
        clientSocket.send(getInv(curInv) + '\r\n')  # send numbers to HOST 
    
    elif match2:  # match qualPattern
        preInv = (curInv[1], preInv[1])
        curInv = (preInv[0], (preInv[0]+preInv[1])/2 + (preInv[0]+preInv[1])%2)
        print getInv(curInv)
        clientSocket.send(getInv(curInv) + '\r\n')

    elif match3:  # match unqualPattern
        preInv = curInv
        curInv = (preInv[0],  (preInv[0]+preInv[1])/2 + (preInv[0]+preInv[1])%2)
        print getInv(curInv)
        clientSocket.send(getInv(curInv) + '\r\n')

    elif 'wrong' in data or 'error' in data or 'bye' in data:
        break

clientSocket.close()

最后終于能在時(shí)限內(nèi)跑出 flag ，結(jié)果如下：

...
Correct! (99)

Congrats! get your flag
b1NaRy_S34rch1nG_1s_3asy_p3asy

time expired! bye!

最后編輯于：2017.12.08 03:41:55

?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請(qǐng)聯(lián)系作者

人面猴
序言：七十年代末库说，一起剝皮案震驚了整個(gè)濱河市狂鞋，隨后出現(xiàn)的幾起案子，更是在濱河造成了極大的恐慌潜的，老刑警劉巖骚揍，帶你破解...
沈念sama閱讀 217,185評(píng)論 6贊 503
死咒
序言：濱河連續(xù)發(fā)生了三起死亡事件，死亡現(xiàn)場(chǎng)離奇詭異啰挪，居然都是意外死亡信不，警方通過查閱死者的電腦和手機(jī)嘲叔，發(fā)現(xiàn)死者居然都...
沈念sama閱讀 92,652評(píng)論 3贊 393
救了他兩次的神仙讓他今天三更去死
文/潘曉璐我一進(jìn)店門，熙熙樓的掌柜王于貴愁眉苦臉地迎上來抽活，“玉大人硫戈，你說我怎么就攤上這事∽煤荆” “怎么了掏愁？”我有些...
開封第一講書人閱讀 163,524評(píng)論 0贊 353
道士緝兇錄：失蹤的賣姜人
文/不壞的土叔我叫張陵，是天一觀的道長(zhǎng)卵牍。經(jīng)常有香客問我果港，道長(zhǎng)，這世上最難降的妖魔是什么糊昙？我笑而不...
開封第一講書人閱讀 58,339評(píng)論 1贊 293
?港島之戀（遺憾婚禮）
正文為了忘掉前任辛掠，我火速辦了婚禮，結(jié)果婚禮上释牺，老公的妹妹穿的比我還像新娘萝衩。我一直安慰自己，他們只是感情好没咙，可當(dāng)我...
茶點(diǎn)故事閱讀 67,387評(píng)論 6贊 391
惡毒庶女頂嫁案：這布局不是一般人想出來的
文/花漫我一把揭開白布猩谊。她就那樣靜靜地躺著，像睡著了一般祭刚。火紅的嫁衣襯著肌膚如雪牌捷。梳的紋絲不亂的頭發(fā)上，一...
開封第一講書人閱讀 51,287評(píng)論 1贊 301
城市分裂傳說
那天涡驮，我揣著相機(jī)與錄音暗甥，去河邊找鬼。笑死捉捅，一個(gè)胖子當(dāng)著我的面吹牛撤防，可吹牛的內(nèi)容都是我干的。我是一名探鬼主播棒口，決...
沈念sama閱讀 40,130評(píng)論 3贊 418
雙鴛鴦連環(huán)套：你想象不到人心有多黑
文/蒼蘭香墨我猛地睜開眼寄月，長(zhǎng)吁一口氣：“原來是場(chǎng)噩夢(mèng)啊……” “哼！你這毒婦竟也來了无牵？” 一聲冷哼從身側(cè)響起漾肮，我...
開封第一講書人閱讀 38,985評(píng)論 0贊 275
萬榮殺人案實(shí)錄
序言：老撾萬榮一對(duì)情侶失蹤，失蹤者是張志新（化名）和其女友劉穎合敦，沒想到半個(gè)月后初橘，有當(dāng)?shù)厝嗽跇淞掷锇l(fā)現(xiàn)了一具尸體，經(jīng)...
沈念sama閱讀 45,420評(píng)論 1贊 313
?護(hù)林員之死
正文獨(dú)居荒郊野嶺守林人離奇死亡，尸身上長(zhǎng)有42處帶血的膿包…… 初始之章·張勛以下內(nèi)容為張勛視角年9月15日...
茶點(diǎn)故事閱讀 37,617評(píng)論 3贊 334
?白月光啟示錄
正文我和宋清朗相戀三年保檐，在試婚紗的時(shí)候發(fā)現(xiàn)自己被綠了耕蝉。大學(xué)時(shí)的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片。...
茶點(diǎn)故事閱讀 39,779評(píng)論 1贊 348
活死人
序言：一個(gè)原本活蹦亂跳的男人離奇死亡夜只，死狀恐怖垒在，靈堂內(nèi)的尸體忽然破棺而出，到底是詐尸還是另有隱情扔亥，我是刑警寧澤场躯，帶...
沈念sama閱讀 35,477評(píng)論 5贊 345
?日本核電站爆炸內(nèi)幕
正文年R本政府宣布，位于F島的核電站旅挤，受9級(jí)特大地震影響踢关，放射性物質(zhì)發(fā)生泄漏。R本人自食惡果不足惜粘茄，卻給世界環(huán)境...
茶點(diǎn)故事閱讀 41,088評(píng)論 3贊 328
男人毒藥：我在死后第九天來索命
文/蒙蒙一签舞、第九天我趴在偏房一處隱蔽的房頂上張望。院中可真熱鬧柒瓣，春花似錦儒搭、人聲如沸。這莊子的主人今日做“春日...
開封第一講書人閱讀 31,716評(píng)論 0贊 22
一樁弒父案搂鲫，背后竟有這般陰謀
文/蒼蘭香墨我抬頭看了看天上的太陽。三九已至磺平，卻和暖如春魂仍，著一層夾襖步出監(jiān)牢的瞬間，已是汗流浹背褪秀。一陣腳步聲響...
開封第一講書人閱讀 32,857評(píng)論 1贊 269
情欲美人皮
我被黑心中介騙來泰國(guó)打工蓄诽，沒想到剛下飛機(jī)就差點(diǎn)兒被人妖公主榨干…… 1. 我叫王不留薛训，地道東北人媒吗。一個(gè)月前我還...
沈念sama閱讀 47,876評(píng)論 2贊 370
代替公主和親
正文我出身青樓，卻偏偏與公主長(zhǎng)得像乙埃，于是被迫代替她去往敵國(guó)和親闸英。傳聞我的和親對(duì)象是個(gè)殘疾皇子，可洞房花燭夜當(dāng)晚...
茶點(diǎn)故事閱讀 44,700評(píng)論 2贊 354

pwnable.kr [Toddler's Bottle] - coin1

推薦閱讀更多精彩內(nèi)容