第一个题呢,总是传说中的那么简单:


ssh fd@pwnable.kr -p2222

password=guest

连接上去之后,使用ls:看到flag文件:cat flag:发现无法打开,肯定是有了设置不让打开的,注意到旁边有两个不一样的

一个是.c文件,一个是可执行文件,同名哦

打开fd.c源码和执行fd文件,很明显知道我们需要做到:

第一步:argc<2的绕过

第二步:read的理解与使用

第三步:strcmp函数为比较字符串函数,显然要让判断成立,需要有个LETMEWIN字符串


注意底下的printf哦:给了提示,需要学习Linux的文件输入输出


先说说应该怎么调试,很明显,远程登陆服务器的时候没法在别人的机器上动手脚去调试吧

可以把代码复制到自己的机器上来,把所有的中间值全部打印出来,去看调试结果


绕过argc:百度一发,Linux C的argc和argv:发现在执行的时候可以传参数

所以随便来个比如:./fd.c 12345

发现打印出来的len为-1,buf为空

说明绕过argc成功,但是比较出错,需要研究read


再百度一发read:对文件的读入:格式为read(fd,buf,count)。细节都会有

fd为0的时候,stdin(标准输入,从键盘)

fd为1的时候,stdout(标准输出,从屏幕)

fd为2的时候,stderr(标准错误)

猜想:fd为文件路径,那么当fd为0这种特殊值的时候,就是键盘输入了咯


让fd为0很简单:fd=atoi(argv[1])-0x1234

输入0x1234的十进制值:4660即可

然后就真的让我从键盘输入了:LETMEWIN


看到了flag哦


重新来做一遍的时候,发现自己的整体思路也不一样了,先运行程序如图所示:


首先得明白argc和argv是什么意思

这是main的两个参数,argc是一个整数值,代表程序运行时,总共传输了多少个参数,其中第0个为程序本身的

提示需要给argv[1]一个数字,argv[0]是程序本身,那么argv[1]就是运行程序时的第一个参数

下来看程序逻辑

#include <stdio.h>
#include <stdlib.h>
#include <string.h>
char buf[32];
int main(int argc, char* argv[], char* envp[]){
	if(argc<2){
		printf("pass argv[1] a number\n");
		return 0;
	}
	int fd = atoi( argv[1] ) - 0x1234;
	int len = 0;
	len = read(fd, buf, 32);
	if(!strcmp("LETMEWIN\n", buf)){
		printf("good job :)\n");
		system("/bin/cat flag");
		exit(0);
	}
	printf("learn about Linux file IO\n");
	return 0;
}

看到fd,read函数的使用,去查询一下

发现当fd=0时,read函数是从屏幕读取输入,那么先输入0x1234(十进制是4660),再输入LETMEWIN,就看得到flag了