0x00

这篇文章是pwnable的第一关fd，属于基础关，也正好适合我这种小白学习。

打开pwnable.kr的网站点击第一个fd游戏就能看到题目了。
题目的描述是关于Linux下的文件描述符，文件描述符是什么我到现在也是有点模糊不清，但是通过这个游戏大致有了个概念。

0x01

通过SSH就可以连接上目标服务器

 ssh fd@pwnable.kr -p 2222

登录上服务器以后查看下目录下的文件

可以看到flag的文件属于fd_pwn和root组，而我们登录的用户是fd，没办法直接读取。接着我们可以发现fd文件我们是可以读取和执行的，那就试着执行一下

直接执行发现它提示我们需要带一个参数，那就简单的带一个1或0，发现它接着提示我们去了解Linux文件的I/O。这个暂时不管，先接着看第三个文件fd.c，可以看到这个文件是属于root和root组的，我们的权限只能查看，那就打开看看。

显然需要我们去读懂这段代码，那我们就一段段的看下去。

if(argc<2){
    printf("pass argv[1] a number\n");
    return 0;
}

这段代码提示我们运行fd文件的时候需要带一个参数给文件，用于后续程序的执行。

int fd = atod(argv[1]) - 0x1234;

要看懂这段代码就需要了解atoi()这个函数，那就google一下

int atoi(const char *nptr);
用法：将字符串里的字符串转化为整形。
注意：转化时跳过前面的空格字符，直到遇上数字或正负符号才开始做转换，而再遇到非数字或字符串结束时('/0')才结束转换，
并将结果返回。如果 nptr不能转换成 int 或者 nptr为空字符串，那么将返回 0

为了弄懂这个函数，我们可以实际调用一下这个函数感受一下。

#include <stdio.h>
#include <stdlib.h>
#include <string.h>
int main(int argc, char* argv[]){
    char* str1 = "12345";
    char* str2 = "-12345";
    char* str3 = "a123a45";
    char* str4 = " 123 45";

    a=atoi(str1);
    b=atoi(str2);
    c=atoi(str3);
    d=atoi(str4);

    printf("a=%d b=%d c=%d d=%d\n",a,b,c,d);
    return 0;
}

编译执行后得到的结果是:

a=12345, b=-12345, c=0, d=123

那么至此大概明白了atoi函数的作用，所以

int fd = atod(argv[1]) - 0x1234;

这段代码就是要把用户输入的字符串通过atod转成整型，然后减掉0x1234

接着往后看，

int len = 0;
len = read(fd,buf,32);

这里需要弄懂read函数的作用，以及各个参数的意思。

ssize_t read(int filedes, void *buf, size_t nbytes);
read()会把参数fd 所指的文件传送count个字节到buf指针所指的内存中。若参数count为0，则read()不会有作用并返回0。返回值为实际读取到的字节数，如果返回0，表示已到达文件尾或是无可读取的数据，此外文件读写位置会随读取到的字节移动。

刚开始，我看这个函数的解释时也不太明白fd参数是什么意思，为什么是一个整型的参数值。这时想到题目的说明是linux下的文件描述符。百度或者google都能搜索到很多关于文件描述符的解释，下面摘录一小段:

在Linux系统中一切皆可以看成是文件，文件又可分为：普通文件、目录文件、链接文件和设备文件。文件描述符（file descriptor）是内核为了高效管理已被打开的文件所创建的索引，其是一个非负整数（通常是小整数），用于指代被打开的文件，所有执行I/O操作的系统调用都通过文件描述符。
程序刚刚启动的时候，0是标准输入，1是标准输出，2是标准错误。如果此时去打开一个新的文件，它的文件描述符会是3。

引用自:http://blog.csdn.net/cywosp/article/details/38965239

那么上面的两行代码就是把fd指向的文件中，读取32个字节到buf数组中。其中在这里我们需要特别关注文件描述符为0的意思，标准输入。就是当fd=0时，我们从键盘输入字符串，那么就能把字符串输入到buf数组里。

接下来就是这段代码，也是最为关键的地方:

if(!strcmp("LETMEWIN\n",buf){
    printf("good job :)\n");
    system("/bin/cat flag");
    exit(0);
}

首先我们看到

system("/bin/cat flag");

在linux下，system()函数就是系统调用命令，相当于在linux下的bash环境中输入的一系列命令，而"/bin/cat"这个字符串代表的就是cat命令的软链接。整句代码就相当于我们在bash中输入

cat flag

去查看flag文件的内容。
另外，在搜索相关system函数的内容时，发现这个函数很容易出现问题，但在这里只是简要的应用，就不作深入的理解。但是我一开始想到的就是文件的属主与权限问题，但看回第三张图的时候，发现了flag文件和fd文件都是属于fd_pwn的，因此猜测性的理解system函数在执行过程可能要依赖于执行函数的文件的用户权限。

在明白了system函数后，我们知道了要想打开flag文件，就要满足if条件

if(!strcmp("LETMEWIN\n",buf)

而strcmp函数在buf数组与字符串"LETMEWIN"相同时，就会返回0。

至此，整段代码的分析到这里就已经弄懂了程序的逻辑。

1.为了使system函数成功执行，我们要满足if条件;
2.要满足if条件，我们需要buf数组里存放的字符串是"LETMEWIN";
3.而通过read函数我们可以把fd指向的文件内容输入到buf数组里;
4.而当fd=0时，fd就是标准输入，也就是可以通过键盘输入"LETMEWIN"使的buf数组满足我们的要求;
5.想要让fd=0,就需要我们在开始执行fd文件时，输入一个合适的参数，使得这个参数通过atoi函数转换成整型与0x1234相减等于0;
6.那么我们可以通过计算器去计算0x1234的十进制形式的值，也就是4660,在执行fd文件时带上参数就能成功查看flag文件获取flag的值。