第一个题呢,总是传说中的那么简单:
ssh fd@pwnable.kr -p2222
password=guest
连接上去之后,使用ls:看到flag文件:cat flag:发现无法打开,肯定是有了设置不让打开的,注意到旁边有两个不一样的
一个是.c文件,一个是可执行文件,同名哦
打开fd.c源码和执行fd文件,很明显知道我们需要做到:
第一步:argc<2的绕过
第二步:read的理解与使用
第三步:strcmp函数为比较字符串函数,显然要让判断成立,需要有个LETMEWIN字符串
注意底下的printf哦:给了提示,需要学习Linux的文件输入输出
先说说应该怎么调试,很明显,远程登陆服务器的时候没法在别人的机器上动手脚去调试吧
可以把代码复制到自己的机器上来,把所有的中间值全部打印出来,去看调试结果
绕过argc:百度一发,Linux C的argc和argv:发现在执行的时候可以传参数
所以随便来个比如:./fd.c 12345
发现打印出来的len为-1,buf为空
说明绕过argc成功,但是比较出错,需要研究read
再百度一发read:对文件的读入:格式为read(fd,buf,count)。细节都会有
fd为0的时候,stdin(标准输入,从键盘)
fd为1的时候,stdout(标准输出,从屏幕)
fd为2的时候,stderr(标准错误)
猜想:fd为文件路径,那么当fd为0这种特殊值的时候,就是键盘输入了咯
让fd为0很简单:fd=atoi(argv[1])-0x1234
输入0x1234的十进制值:4660即可
然后就真的让我从键盘输入了:LETMEWIN
看到了flag哦
重新来做一遍的时候,发现自己的整体思路也不一样了,先运行程序如图所示:
首先得明白argc和argv是什么意思
这是main的两个参数,argc是一个整数值,代表程序运行时,总共传输了多少个参数,其中第0个为程序本身的
提示需要给argv[1]一个数字,argv[0]是程序本身,那么argv[1]就是运行程序时的第一个参数
下来看程序逻辑
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
char buf[32];
int main(int argc, char* argv[], char* envp[]){
if(argc<2){
printf("pass argv[1] a number\n");
return 0;
}
int fd = atoi( argv[1] ) - 0x1234;
int len = 0;
len = read(fd, buf, 32);
if(!strcmp("LETMEWIN\n", buf)){
printf("good job :)\n");
system("/bin/cat flag");
exit(0);
}
printf("learn about Linux file IO\n");
return 0;
}
看到fd,read函数的使用,去查询一下
发现当fd=0时,read函数是从屏幕读取输入,那么先输入0x1234(十进制是4660),再输入LETMEWIN,就看得到flag了