BJD4th pwn pi

　　没记错的话，比赛那天正好是圣诞节，就只看了这一道pwn题，我还没做出来。我太菜了。

　　有一说一，ida换成7.5版本之后，一些去掉符号表的函数也能被识别出来了，ida更好用了呢。

　　题目程序分为两块，先看第一块，登陆。

　　先输入一个username，再输入一个passcode，程序会判断passcode和在16行随机生成的数是否相等，如果相等就会通过判断。（16行，后面的函数是来读取随机数的）

　　这里的读取用的是自写函数，sub_13BB，跟进去看看。

　　箭头所指是会在我们输入的username后面加"\x00"的，用来截断字符串，但是这里明显可以溢出。

　　当输入64个字符时，会在65处加上"\x00"，执行snprintf的时候，这个位置又会被随机数覆盖，在18行进行输出的时候，由于没有截断，会把生成的随机数也输出。这样就得到passcode了。这样第一部分就搞定了。接下来看第二部分。

　　这里题目说了，程序用的是蒙特卡罗算法求圆周率的。到底是怎么求的呢？

　　个人感觉和抛硬币一样，只要你抛得次数足够多，最后的统计出的抛出正面和反面的概率就越接近1/2。这就是这个算法的核心，多次随机实验来求概率，通过概率再进行推算。跑远了...

　　题目是让最后得出的圆周率的误差小于0.0000001就可以cat flag。是让我们输入一个实验的次数，理论上，只要次数足够多，就可以直接拿flag。但是程序在第一块有alarm函数，是有计时的。所以不行，毕竟还是个pwn题嘛，找找漏洞点。

　　这里有一个17行有一个"%llu"其实挺引人注目的，这个是long long int的缩写，而程序上写了，v1是int类型变量，说明这里可以进行溢出。可以将v2赋值成3.1415926，同时让v1==0，这样v0==0，就可以拿到flag了。

　　这里有一个知识点就是，浮点数应在内存中应该怎么表示呢？我以前写过文章专门讲解过，这里我就直接通过例子看了。

#include<stdio.h>
float a;
int main()
{
    a=3.1415926;
    getchar();
    return 0;
}

　　gcc编译一下，看内存分布。

　　因为这只是给v2赋值的，还需要让v1==0，因为是小端序的原因，内存中应该是

　　00000000 DA0F4940 00000000 (前面的8个数代表v1的内存分布，后面的16个数是v2的内存分布）

　　所以这里需要输入的数值应该是‭4632251120704552960‬，既能让v1==0，又能让v2==3.1415926。这样就能拿到flag了。

　　exp：

from pwn import *

p = process('./pi')
context.log_level = 'debug'

p.sendlineafter('Username: ','a'*0x3f+'b')
p.recvuntil('b')
password = p.recvuntil('.')[:-1]
print 'password-->'+password
p.sendlineafter('Passcode: ',password)
p.recvuntil('N = ')
p.sendline('4632251120704552960')
p.recv()
p.close()

 

蒙特卡洛算法图片来源：https://crazism.net/9454.html