美文网首页学pwn/二进制逆向
[pwnable.kr]第一题fd

[pwnable.kr]第一题fd

作者: 飞速遗忘 | 来源:发表于2020-04-10 19:33 被阅读0次

题目

  • 标题: fd
    (fd在Linux中是文件描述符的意思,但是在此题中我没看到题干和fd有什么关系.)
  • 文字描述 :
Mommy! what is a file descriptor in Linux?

ssh fd@pwnable.kr -p2222 (pw:guest)

提示使用ssh登录服务器pwnable.kr, 端口-p2222.账号fd, 密码guest

  • 用secureCRT登录查看


    ls查看.PNG

第一步:ls -l查看文件和权限,看到三个文件col col.c flag

尝试用cat flag查看flag文件,发现权限不足(其实从在从ls -l给的信息中也能看出来文件flag的权限给的很少)
第二步:查看源代码cat col.c

catcol.PNG

解题思路

  • 第一步 : 分析源代码
    首先, 我们可以看到代码中包含有我们获取flag文件的命令, 即
system("/bin/cat flag");

根据源代码中的if语句约束, 为了到达这一步需要满足三个条件 :

  1. 至少有一个输入,即argc >= 2,因为此题只取用了argv[1],所以argc = 2即可,也就是只输入一个参数. argc代表输入的参数个数, 程序名字是一个,输入的内容是一个,共两个.
  2. 输入的参数的长度为20个字节
  3. check_password()函数的返回值等于全局变量hashcode = 0x21DD09EC
    前两个条件容易满足,只需要保持有一个输入且长度为20字节即可。
    第三个条件则需要分析check_password(const char * p)函数
  • 第二步 : 分析主要函数check_password()
    可以看到输入的参数argv[1]的指针被传给char指针 p, 然后将char指针p的值强制转换为int型赋给int型指针ip. 那么ip指针所指向的空间的长度为20字节(在满足上述1和2的条件下, 这20字节就是我们输入的字节),也就是5个int型数字(int占4字节), 将5个int型数字相加就是函数的返回值. 
unsigned long check_password(const char * p){
  int* ip = (int*) p;
  int i;
  int res = 0;
  for (i = 0; i < 5 ; i++){
    res += ip[i];
  }
  return res;
}

解题的主要目标就可确定为 : 输入20个字节的char字符, 将每4个char字符转换为1个int数字后相加,最终的结果等于0x21DD09EC

解题方法

  • 第一步 : 把0x21DD09EC拆分为5个int型数字, 我拆分为这5个0x1D010101, 0x016D0101, 0x016D0501, 0x01010174, 0x01010175.
  • 第二步, 把这5个数用char类型输出, 以此作为该程序的输入
python -c "print '\x01'*3+'\x1d'+'\x01'*2+'\x6d'+'\x01'*2+'\x05'+'\x6d'+'\x01'+'\x74'+'\x01'*3+'\x75'+'\x01'*3"
//这是python2.7的代码,注意数字的低位在前高位在后是因为主机是小端模式
  • 第三步, 将第二步的输出作为程序col的启动参数, 因为目标主机是linux,所以直接使用linux命令
./col $(python -c "print '\x01'*3+'\x1d'+'\x01'*2+'\x6d'+'\x01'*2+'\x05'+'\x6d'+'\x01'+'\x74'+'\x01'*3+'\x75'+'\x01'*3")

注意 : 输入数字的拆分原则: 不能出现0x00,会被视为分割输入参数的空格,导致输入1个参数的20字节读取后被分割为数个参数. 另外标准ascii码的的范围为0x00~0x7f, 所以分割的字节不能出现大于0x7f的,否则会在python输出字符时出现问题.

基础知识补充

大小端 :是数据存放的方式. 低地址存高位是大端, 低地址存低位是小段. 假设地址从小到大增长, 对于0x123456, 大端存储为 12 34 56, 小端存储为56 34 12
linux命令 :

  • cat : 查看内容
  • ./program $(command): 用./program来执行当前目录下的程序, $()中的command会先被执行,然后将执行的结果, 作为program的输入参数../program (反撇号)command(反撇号). 以后可能会有下面这种形式, 但是|命令是输入到缓冲区, 所以程序需要读缓冲区命令, 而此题是main函数直接传参,所以下面代码不能使用.
python -c "print 'a'*10+'xxx'" | ./program

相关文章

  • pwnable.kr第一题:fd

    pwnable.kr 一、要点 1.argc与argv 对于C语言int main(int argc char *...

  • [pwnable.kr]第一题fd

    题目 标题: fd(fd在Linux中是文件描述符的意思,但是在此题中我没看到题干和fd有什么关系.) 文字描述 ...

  • pwnable.kr fd

    pwnable.kr one OK, 题目说让我们 ssh 远程服务器,那么咱们 ssh 连接一下。友情提示:现在...

  • 【Pwnable.kr】fd

    题目源码: 源码分析: 从源码分析,可知,这个程序接收一个参数argv[1],这个参数转换成整数int型,然后减去...

  • pwnable.kr fd wp

    Pwnable.kr/fd 一些感想 利用 SSH 连接到答题环境后,ls 看一下有哪些文件 那么让我们来看一下源...

  • Pwnable.kr系列--fd(1)

    fd是文件描述符,对于 len = read(fd, buf, 32)而言 fd=0,1,2分别表示从stdin,...

  • Pwnable.kr-3.bof

    下载链接:http://pwnable.kr/bin/bofhttp://pwnable.kr/bin/bof.c...

  • Pwnable.kr系列

    pwnable.kr

  • 黑客练手入门| pwnable.kr—幼儿瓶—01:fd

    [TOC] 前言 担心有人不知道pwnable.kr是什么,所以觉得有必要简单介绍一下它。 pwnable.kr介...

  • pwnable.kr collision

    今天咱们来继续玩 pwnable.kr pwnable.kr collision 同样的,我们远程连接上服务器,然...

网友评论

    本文标题:[pwnable.kr]第一题fd

    本文链接:https://www.haomeiwen.com/subject/vixrmhtx.html

    延伸阅读

    深度阅读

    • 您也可以注册成为美文阅读网的作者,发表您的原创作品、分享您的心情!

    栏目导航

    热点阅读

    学pwn/二进制逆向

    关于我们|服务条款|联系我们|[pwnable.kr]第一题fd|投稿指南|网站地图|RSS订阅|排版工具|手机版

    提供经典美文摘抄,优美散文欣赏,现代诗歌精选,短篇小说,心情随笔,表白情书范文,故事会在线阅读欣赏

    Copyright © 2014-2023 Haomeiwen.com All Rights Reserved. 好美文阅读网 版权所有

    备案信息:桂公网安备 45052102000051号 · 桂ICP备13007215号-3

    本站所收录作品、热点评论等信息部分来源互联网,目的只是为了系统归纳学习和传递资讯

    所有作品版权归原创作者所有,与本站立场无关,如不慎侵犯了你的权益,请联系我们告知,我们将做删除处理!