pwnable.kr-input WP

最新推荐文章于 2020-07-10 11:33:21 发布
最新推荐文章于 2020-07-10 11:33:21 发布
阅读量346 收藏
点赞数
分类专栏: pwn学习 文章标签: pwnable.kr input pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Casuall/article/details/89352536
版权

首先连进去运行一下

查看一下源码

#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <sys/socket.h>
#include <arpa/inet.h>

int main(int argc, char* argv[], char* envp[]){
    printf("Welcome to pwnable.kr\n");
    printf("Let's see if you know how to give input to program\n");
    printf("Just give me correct inputs then you will get the flag :)\n");

    // argv
    if(argc != 100) return 0;
    if(strcmp(argv['A'],"\x00")) return 0;
    if(strcmp(argv['B'],"\x20\x0a\x0d")) return 0;
    printf("Stage 1 clear!\n"); 

    // stdio
    char buf[4];
    read(0, buf, 4);
    if(memcmp(buf, "\x00\x0a\x00\xff", 4)) return 0;
    read(2, buf, 4);
        if(memcmp(buf, "\x00\x0a\x02\xff", 4)) return 0;
    printf("Stage 2 clear!\n");
    
    // env
    if(strcmp("\xca\xfe\xba\xbe", getenv("\xde\xad\xbe\xef"))) return 0;
    printf("Stage 3 clear!\n");

    // file
    FILE* fp = fopen("\x0a", "r");
    if(!fp) return 0;
    if( fread(buf, 4, 1, fp)!=1 ) return 0;
    if( memcmp(buf, "\x00\x00\x00\x00", 4) ) return 0;
    fclose(fp);
    printf("Stage 4 clear!\n"); 

    // network
    int sd, cd;
    struct sockaddr_in saddr, caddr;
    sd = socket(AF_INET, SOCK_STREAM, 0);
    if(sd == -1){
        printf("socket error, tell admin\n");
        return 0;
    }
    saddr.sin_family = AF_INET;
    saddr.sin_addr.s_addr = INADDR_ANY;
    saddr.sin_port = htons( atoi(argv['C']) );
    if(bind(sd, (struct sockaddr*)&saddr, sizeof(saddr)) < 0){
        printf("bind error, use another port\n");
            return 1;
    }
    listen(sd, 1);
    int c = sizeof(struct sockaddr_in);
    cd = accept(sd, (struct sockaddr *)&caddr, (socklen_t*)&c);
    if(cd < 0){
        printf("accept error, tell admin\n");
        return 0;
    }
    if( recv(cd, buf, 4, 0) != 4 ) return 0;
    if(memcmp(buf, "\xde\xad\xbe\xef", 4)) return 0;
    printf("Stage 5 clear!\n");

    // here's your flag
    system("/bin/cat flag");    
    return 0;
}

这个源码有点长,通过源码的注释可以看到这个题有五个阶段,分别涉及到argv,stdio,env,file,network相关知识。我们一个一个来看。

argv

    // argv
    if(argc != 100) return 0;
    if(strcmp(argv['A'],"\x00")) return 0;
    if(strcmp(argv['B'],"\x20\x0a\x0d")) return 0;
    printf("Stage 1 clear!\n");

首先来看第一部分,通过这几行代码可以看到,首先你的参数个数得是100,并且argv['A']='\x00',argv['B']='\x20\x0a\x0d',这里他用的是字母’A’,'B’做的索引值,系统会将这个字母转换为对应的ascii值,也就是argv[65],argv[66]。这里先用python生成99个A作为参数的初始化(程序名作为第一个参数,所以还需要99个参数),然后令argv[ord('A')-1]='\x00',argv[ord('B')-1]='\x20\x0a\x0d'

stdio

// stdio
    char buf[4];
    read(0, buf, 4);
    if(memcmp(buf, "\x00\x0a\x00\xff", 4)) return 0;
    read(2, buf, 4);
        if(memcmp(buf, "\x00\x0a\x02\xff", 4)) return 0;
    printf("Stage 2 clear!\n");

第二部分用了一个read()函数,从标准输入中读取了4个字节到buf中。

ssize_t read(int fd,void * buf ,size_t count);  
read()会把参数fd所指的文件传送count个字节到buf指针所指的内存中。
fd(文件描述符)在前面的题中已经遇到过了,0表示标准输入,1表示标准输出,2表示标准错误。

所以这部分要求从stdin读取"\x00\x0a\x00\xff",从标准输出中读取"\x00\x0a\x02\xff"。这里需要采用os的pipe()函数os.pipe() 方法用于创建一个管道, 返回一对文件描述符(r, w) 分别为读和写。在python脚本的最初,我们声明了两个pipe管道,stdinr,stdinw和stderrr,stderrw,其作用就是向stdin和stderr写入题目需要的字符串,而如果直接用stdin和stderr是无法直接写入的,所以利用管道的双向读写功能来完成这一部分。

env

// env
    if(strcmp("\xca\xfe\xba\xbe", getenv("\xde\xad\xbe\xef"))) return 0;
    printf("Stage 3 clear!\n");

这里用到了getenv()函数来获取环境字符串。

char *getenv(const char *name) 
搜索 name 所指向的环境字符串,并返回相关的值给字符串。

这里是要让"\xde\xad\xbe\xef"的环境变量等于"\xca\xfe\xba\xbe",那么在python脚本中就可以通过定义一个字典,然后让"\xde\xad\xbe\xef"对应"\xca\xfe\xba\xbe",在Popen函数的时候,将这个字典当作env的参数就好了。

file

// file
    FILE* fp = fopen("\x0a", "r");
    if(!fp) return 0;
    if( fread(buf, 4, 1, fp)!=1 ) return 0;
    if( memcmp(buf, "\x00\x00\x00\x00", 4) ) return 0;
    fclose(fp);
    printf("Stage 4 clear!\n");

接下来是第四部分,通过fread()函数,从fp中读取一个元素,4字节大小到buf中。

size_t fread(void *buffer, size_t size, size_t count FILE *stream)
就是读取stream流中count个元素,每个元素size大小,读取到buffer中

因此,只要在python脚本中写入4个’\x00’就好了。

network

// network
    int sd, cd;
    struct sockaddr_in saddr, caddr;
    sd = socket(AF_INET, SOCK_STREAM, 0);   //创建套接字
    if(sd == -1){
        printf("socket error, tell admin\n");
        return 0;
    }
    saddr.sin_family = AF_INET;   //地址族
    saddr.sin_addr.s_addr = INADDR_ANY;    //IP地址
    saddr.sin_port = htons( atoi(argv['C']) ); //端口号
    if(bind(sd, (struct sockaddr*)&saddr, sizeof(saddr)) < 0){
        printf("bind error, use another port\n");
            return 1;
    }
    listen(sd, 1);
    int c = sizeof(struct sockaddr_in);
    cd = accept(sd, (struct sockaddr *)&caddr, (socklen_t*)&c);
    if(cd < 0){
        printf("accept error, tell admin\n");
        return 0;
    }
    if( recv(cd, buf, 4, 0) != 4 ) return 0;
    if(memcmp(buf, "\xde\xad\xbe\xef", 4)) return 0;
    printf("Stage 5 clear!\n");

这一部分涉及到网络编程相关的知识,用socket()函数创建一个套接字

int socket(int domain, int type, int protocol);
domain为协议族,这里用的AF_INET表示用ipv4地址
type指Socket类型,流式Socket(SOCK_STREAM)是一种面向连接的Socket,针对于面向连接的TCP服务应用。
protocol表示协议,常用协议有IPPROTO_TCP、IPPROTO_UDP、IPPROTO_STCP、IPPROTO_TIPC等,分别对应TCP传输协议、UDP传输协议、STCP传输协议、TIPC传输协议。当第三个参数为0时,会自动选择第二个参数类型对应的默认协议。

bind()函数通过给一个未命名套接口分配一个本地名字来为套接口建立本地捆绑(主机地址/端口号),这里的端口号为参数argv[‘C’]的值。
listen()函数用来创建一个套接口并监听申请的连接。

int listen( int sockfd, int backlog);  
sockfd:用于标识一个已捆绑未连接套接口的描述字。  
backlog:等待连接队列的最大长度。

accept()函数的作用是在一个套接口接受一个连接。

int accept(int sockfd,struct sockaddr *addr,socklen_t *addrlen);
成功返回一个新的套接字描述符,失败返回-1。  
sockfd:套接字描述符,该套接口在listen()后监听连接。  
addr:(可选)指针,指向一缓冲区,其中接收为通讯层所知的连接实体的地址。  Addr参数的实际格式由套接口创建时所产生的地址族确定。  
addrlen:(可选)指针,输入参数,配合addr一起使用,指向存有addr地址长度的整型数。

前面都是建立socket连接的过程,主要的还是要看建立连接以后的这一部分,也就是recv函数这块,recv函数原型ssize_t recv(int sockfd, void *buf, size_t len, int flags);,用来从socket中接收数据,官方解释如果flags为0那么recv()函数就相当于read()函数,本题就是服务端接受的4字节的数据并且放到buf中。memcmp函数,这个函数就是比较buf与"\xde\xad\xbe\xef"的前4字节的内容是否相等,相等则返回0,因此这部分就是向服务端发送"\xde\xad\xbe\xef"这个字符串即可通过。

脚本如下:

import os
import socket
import time
import subprocess

stdinr, stdinw = os.pipe()
stderrr, stderrw = os.pipe()

args = list("A"*99)
args[ord('A') - 1] = ""    
args[ord('B') - 1] = "\x20\x0a\x0d"
args[ord("C") - 1] = "8888"

os.write(stdinw, "\x00\x0a\x00\xff")
os.write(stderrw, "\x00\x0a\x02\xff")

environ = {"\xde\xad\xbe\xef" : "\xca\xfe\xba\xbe"}

f = open("\x0a" , "wb")
f.write("\x00"*4)
f.close()

s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)

pro = subprocess.Popen(["/home/input2/input"]+args, stdin=stdinr,stderr=stderrr,env=environ)

time.sleep(2)
s.connect(("127.0.0.1", 8888))
s.send("\xde\xad\xbe\xef")
s.close()

理论上讲这道题已经解出来了,但是在实际操作的时候又遇到了一些问题,首先是你对/home/input2这个目录没有写的权限,所以没办法将脚本传到这里来执行。


查看一下目录权限情况,我们发现对/tmp目录下有写和执行的权限,可以把脚本放到这里来执行,但是没有读的权限。

所以我们要在/tmp目录下新建一个目录,这里我见了一个inputs文件,将脚本传到了这个目录下。

还有一个问题,就是input.c中获取flag的语句system("/bin/cat flag");用的是相对路径,所以我们需要在执行脚本的目录下创建一个flag的副本,通过软连接的方式连接到真正的flag

ln [参数][源文件或目录][目标文件或目录]
-s 软链接(符号链接)
软链接,以路径的形式存在。类似于Windows操作系统中的快捷方式

这样就能获取flag了

这道题涉及的知识很多,需要一点点去学,哪部分不懂就去搜哪部分,关于网络编程的那部分可以参考一下《UNIX网络编程卷1:套接字联网API》这本书,还有最后遇到的读写权限问题,可以去网上看一下linux文件权限那部分。
本题参考了Pino_HD的博客,脚本就是从这位大佬copy过来的,还有一个版本的wp讲解的也比较详细,是通过C语言来解的题,werewblog,大家可以参考一下不同的wp

Casuall
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Reversing.kr--crackme200.rar
09-30
Reversing.kr--crackme200.rar
pwnable.krinput
river
05-07 3490
input 这道题有点麻烦。 一共有五个阶段,需要突破,参考链接里讲的很详细了,自己没有太多的理解。感觉基础差太多了,像进程间通信,Linux管道技术,网络 编程,都需要加强。   在这里记录几个自己的学到的姿势吧: 1   argv['A'] = "\x00";      argv['B'] = "\x20\x0a\x0d";      argv['C'] ="55555"; 
pwnable.kr input
CODER的博客
07-10 210
1. 编写脚本 import os,socket,sys,time,subprocess #argv args = ['filename'] + ["A"] * 99 args[ord('A')] = "" args[ord('B')] = "\x20\x0a\x0d" args[ord('C')] = "8444" #stdio stdinr, stdinw = os.pipe() stderrr, stderrw = os.pipe() os.write(stdinw,"\x00\x0a\x00\
pwnable.kr-input
qq_35661990的博客
09-19 289
难点感觉是linux下的父进程和子进程间的通道搭建,和搭建socket客户端 #include &lt;stdio.h&gt; #include &lt;stdlib.h&gt; #include &lt;string.h&gt; #include &lt;sys/socket.h&gt; #include &lt;arpa/inet.h&gt; int main(int argc, cha...
pwnable.kr [input]
shisuan1的博客
12-02 241
pwnable.kr [input] Mom? how can I pass my input to a computer program? ssh input2@pwnable.kr -p2222 (pw:guest) input.c 的代码 #include &amp;lt;stdio.h&amp;gt; #include &amp;lt;stdlib.h&amp;gt; #include &amp;lt;string.h&amp;gt
pwnable.krinput
子曰小玖的博客
06-04 219
https://r00tnb.github.io/2018/01/12/pwnable.kr-input/ 前言 这道题对于我来说挺麻烦,整个题目分了五个阶段,涉及进程通信,socket等内容。对,就是考察linux基础的,但是我得承认我对这些不熟,所以还是查了半天资料做出来的,最后题目还有个大坑。 分析 首先还是分析源码 1 2 3 4 5 6 7 8 9 10 11 1...
mirror.enha.kr-crx插件
04-04
在enhawiki镜像中搜索关键字(http://mirror.enha.kr)! v1.21 可以在黑暗屏幕上查看的单独选项 ...
dark.enha.kr-crx插件
04-04
语言:한국어 在elecawiki(暗)镜像中搜索关键字(http://dark.enha.kr)! v1.0 释放
[pwnable.kr] input
ACdream
08-03 2666
网上最全的题解在这:input题解 知识点细节看上面那个题解就好了,非常详细 细节问题折腾好久,来学习一下: 如何把input文件放上去?有两种方法: A:WinSCP,注意tmp文件我们没有足够权限,只有把文件放进去的权限,拖进去了就好 B:用scp命令,推荐个学习博客:scp命令学习 注意哦,修改端口是大写 scp -P 2222 inputpwn.c input@p
Pwnable.kr---input
leeham的博客
10-29 1096
Pwnable.krinput解题思路:题目代码很明显,要求我们一共通过五个关卡,才能执行到system()函数,cat flag;那就只能一个一个来过了,分解目标。这里使用C来编写脚本文件,调用input
pwnable.kr [Toddler's Bottle] - input
Re:Umiade.tr
03-13 1201
这题流程相对较长,考查Linux编程的基本功(笔者做到这题不禁感叹自己基本功还是欠了不少火候)。 在一开始,尝试写Python脚本去完成验证,但stage 2关于stdio的验证却苦无思路。 这里感谢werew在他的writeup中提供的解决思路,这才豁然开朗。 参考链接:https://werewblog.wordpress.com/2016/01/11/pwnable-kr-input/关
pwnable.krinput(看了好久好久的题目和网上的wp....)
Jason_ZhouYetao的博客
06-11 439
本来这题也没有什么的思路,在看了一位大佬的博客之后,自己感觉还有一点的细节适合我们的这些萌新去学习。 input解题 input细节 其他的我看了好久的是,其中的细节问题,其中一个是题目虽然是input,但是在访问的适合却是input2@pwnable.kr,这个需要注意一下,而且在上传文件的是在你最原始的界面,也就是你一开始打开终端的root界面,之后执行命令 scp -P ...
pwnable.kr题解之input
Yale的博客
06-19 558
0x01前言:这关其实和pwn关系不大,主要考察的都是linux下一些函数的操作,考察linux的基本功。涉及到的知识点包括一些经典的函数原型、IO重定向、文件描述符、管道、环境变量、socket编程、符号链接等。 这里顺便真心安利一本书,《UNIX环境高级编程》,简称APUE书里介绍UNIX文件和目录、标准I/O库、系统数据文件和信息、进程环境、进程控制、进程关系、信号、线程、线程控制、守护进程、各种I/O、进程间通信、网络IPC、伪终端等方面的内容,还在此基础上结合函数原型介绍了多个应用示例,如果这本书
pwnable.kr —— input题解
Yannie's Blog
12-14 587
哎,做完这道题,才深知自己c语言功底渣到不行,假期一定狂补一下c语言基础语法,不然就太菜了 这道题就很有意思了,完全是考察你的c语言功底 我们就直接来看源码吧 #include &amp;amp;lt;stdio.h&amp;amp;gt; #include &amp;amp;lt;stdlib.h&amp;amp;gt; #include &amp;amp;lt;string.h&amp;amp;gt; #include &amp;amp;lt;sy
pwnable.kr第二遍---input
leeham的博客
03-16 562
&gt;&gt;&gt;input1.命令whoami---input2groups---input2ls -l:发现其他用户对input2可执行文件没有执行权限;只对文件owner和input2组用户有该权限;然后发现input2用户也位于input2-group中2.字符与数字之间的转换各进制之间的转换chr ord bin oct int hex字符和ascii:chr ord转成十进制:i...
input - pwnable
SkYe's Blog
08-30 305
input - pwnable 1.获取题目 我们先用ssh链接上pwnable的服务器获取题目。在终端输入ssh input2@pwnable.kr -p2222,出现提示后输入密码guest 查看目录下有的文件以及文件权限ls -l 2. 运行程序 直接运行,提示需要我们给出正确的输入才能获得flag。 由于这题不涉及栈溢出等等操作,而是涉及有关于linux下的输入与输出的相关知识,就不查...
input_WriteUp(pwnable.kr_input)文件的输入
Hvnt3r的博客
08-07 298
本题代码很长 题面 Mom? how can I pass my input to a computer program? ssh input2@pwnable.kr -p2222 (pw:guest) 代码 #include &lt;stdio.h&gt; #include &lt;stdlib.h&gt; #include &lt;string.h&gt; #include ...
Pwnable.tw WP
AlexYoung28的博客
08-18 854
Pwnable.tw start 我们分析上图程序的汇编代码: 上图中的第一个方框,其实是将 : Let's start the CTF:  这句字符串压进栈; 第二个方框:其实是 system_write()函数, 参数中 fd =1, 说明是标准输出,也就是将 字符串打印输出在屏幕上; 第三个方框: 其实 标准输入函数,允许输入的长度是 3ch 也就是 60个字节; 但是buffe...
pwnable.kr】day7:input
weixin_38312031的博客
12-16 250
pwnableinput pwnable.krinput 题目链接 question Mom? how can I pass my input to a computer program? ssh input2@pwnable.kr -p2222 (pw:guest) 题目要求我们使用ssh登录到服务器上查看ssh input2@pwnable.kr -p2222,密码是guest,有的时...
kr-print-designer
最新发布
11-25
kr-print-designer是一个基于Vue、ElementUi、Lodop的打印模板设计器,它可以帮助用户实现打印模板的设计、预览和打印功能。kr-print-designer的主要特点包括: 1. 支持多种打印模板类型,包括A4、A5、小票等。 2. ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值