pwnable 笔记 Toddler's Bottle - input

最新推荐文章于 2019-05-20 14:49:00 发布
最新推荐文章于 2019-05-20 14:49:00 发布
阅读量1.6k 收藏
点赞数
分类专栏: pwn pwnable.kr 题解 文章标签: pwnable 安全 linux io python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/smalosnail/article/details/53048109
版权

这题考察Linux的各种输入:参数,标准输入输出,环境变量,文件输入输出,socket

解题时用了python的subprocess(用法见我的上一篇博客),做这题挺时间的,题目的各种坑点,我会在后面一一指出


题目源代码:(为了方便本地调试,在源码里加了debug用的put("ok");)

<span style="font-family:Microsoft YaHei;font-size:18px;">#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <sys/socket.h>
#include <arpa/inet.h>

int main(int argc, char* argv[], char* envp[]){
	printf("Let's see if you know how to give input to program\n");
	printf("Just give me correct inputs then you will get the flag :)\n");

	// argv
	if(argc != 100) return 0;
	puts("ok");
	if(strcmp(argv['A'],"\x00")) return 0;
	puts("ok");
	if(strcmp(argv['B'],"\x20\x0a\x0d")) return 0;
	puts("ok");
	printf("Stage 1 clear!\n");	

	// stdio
	char buf[4];
	read(0, buf, 4);
	if(memcmp(buf, "\x00\x0a\x00\xff", 4)) return 0;
	puts("ok");

	read(2, buf, 4);
    if(memcmp(buf, "\x00\x0a\x02\xff", 4)) return 0;
	puts("ok");
	printf("Stage 2 clear!\n");
	
	// env
	if(strcmp("\xca\xfe\xba\xbe", getenv("\xde\xad\xbe\xef"))) return 0;
	puts("ok");
	printf("Stage 3 clear!\n");

	// file
	FILE* fp = fopen("\x0a", "r");
	if(!fp) return 0;
	puts("ok");
	if( fread(buf, 4, 1, fp)!=1 ) return 0;
	puts("ok");
	if( memcmp(buf, "\x00\x00\x00\x00", 4) ) return 0;
	puts("ok");
	fclose(fp);
	printf("Stage 4 clear!\n");	

	// network
	int sd, cd;
	struct sockaddr_in saddr, caddr;
	sd = socket(AF_INET, SOCK_STREAM, 0);
	if(sd == -1){
		printf("socket error, tell admin\n");
		return 0;
	}
	puts("ok");
    saddr.sin_family = AF_INET;
	saddr.sin_addr.s_addr = INADDR_ANY;
	saddr.sin_port = htons( atoi(argv['C']) );
	if(bind(sd, (struct sockaddr*)&saddr, sizeof(saddr)) < 0){
		printf("bind error, use another port\n");
    		return 1;
	}
    puts("ok");
	listen(sd, 1);
	int c = sizeof(struct sockaddr_in);
	cd = accept(sd, (struct sockaddr *)&caddr, (socklen_t*)&c);
	if(cd < 0){
		printf("accept error, tell admin\n");
		return 0;
	}
    puts("ok");
	if( recv(cd, buf, 4, 0) != 4 ) return 0;
	puts("ok");
    if(memcmp(buf, "\xde\xad\xbe\xef", 4)) return 0;
	printf("Stage 5 clear!\n");

	// here's your flag
	system("/bin/cat flag");	
	return 0;
}
</span>

没有什么技巧,照着源码的要求,一步一步构造输入即可。

直接贴出py脚本:

<span style="font-family:Microsoft YaHei;font-size:18px;">from subprocess import *
import os
import socket
import time

stdinr, stdinw = os.pipe()
stderrr, stderrw = os.pipe()

# stage1 arg
args = list("A" * 99)
args[ord('A') - 1] = ""
args[ord('B') - 1] = "\x20\x0a\x0d"
args[ord('C') - 1] = "8888"

#stage2 std io
os.write(stdinw, "\x00\x0a\x00\xff")
os.write(stderrw, "\x00\x0a\x02\xff")

#stage3 env
environ = {"\xde\xad\xbe\xef":"\xca\xfe\xba\xbe"}

#satge4 file o
f = open("\x0a", "wb")
f.write("\x00"*4)
f.close()

#satge5 network io
s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)

proc = Popen(["/home/input2/input"] + args, stdin=stdinr, stderr=stderrr, env=environ)

time.sleep(2)
s.connect(("127.0.0.1", 8888))
s.send("\xde\xad\xbe\xef")
s.close()</span>

下面说一下比较坑的点,由于在/home/input这个目录下没有权限创建新文件,所以需要把脚本放在/tmp去执行,stage4创建文件的操作也需要在tmp下进行

但是源码 system("/bin/cat flag"); 中使用的是相对路径,所以还需要对flag进行连接

<span style="font-family:Microsoft YaHei;font-size:18px;">$ cd /tmp #更换目录
$ touch a.py #创建脚本
$ ln -s /home/input2/flag ./flag #软连接flag

$ python a.py</span>
跑完脚本之后显示stage1-5全都通过,但是就是没有弹出flag,于是把之前连接来的flag删掉,自己随便写了一个flag文件,发现是可以弹出来的

猜想可能是文件权限的问题,看了一下,发现/tmp文件夹的r权限关掉了,但是w权限还在


于是在/tmp下新建一个文件夹,把脚本放在这个文件夹里执行

<span style="font-family:Microsoft YaHei;font-size:18px;">$ mkdir -p /tmp/input
$ ln -s ~/flag ./
$ touch a.py
$ python a.py
</span>

get it √

TaQini852
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
Toddler-care-website:使用 Django 的互联网编程实验室迷你项目
08-04
幼儿护理网站 -------互联网编程实验室迷你项目------- 这是一个使用 Django 框架构建的网站,用于聘请保姆和订购产品来照顾幼儿。
pwnable-input
网安星空
01-31 738
pwnable.kr是一个经典的CTF中PWN方向练习的专业网站,本文记录的题目是input,主要考察的是C语言源代码审计的知识点,使用pwntools可以很便利的完成。
pwnableinput
bluestar628的博客
04-04 1010
第一题还可以用脚本来做,只要把文件分隔符设置为一个其他符号就可以了,这里我们设为“-”但是第二题就不那么简单了。 IFS='-'//设置分隔符为“-” ./input `python-c 'pr
pwnable.kr [Toddler's Bottle] - input
Re:Umiade.tr
03-13 1201
这题流程相对较长,考查Linux编程的基本功(笔者做到这题不禁感叹自己基本功还是欠了不少火候)。 在一开始,尝试写Python脚本去完成验证,但stage 2关于stdio的验证却苦无思路。 这里感谢werew在他的writeup中提供的解决思路,这才豁然开朗。 参考链接:https://werewblog.wordpress.com/2016/01/11/pwnable-kr-input/关
pwnable input2 之 write up
weixin_33670786的博客
08-03 119
首先看源代码: 1 input2@ubuntu:~$ cat input.c 2 #include <stdio.h> 3 #include <stdlib.h> 4 #include <string.h> 5 #include <sys/socket.h> 6 #include <arpa/inet.h> ...
pwnable.kr 之input(看了好久好久的题目和网上的wp....)
Jason_ZhouYetao的博客
06-11 438
本来这题也没有什么的思路,在看了一位大佬的博客之后,自己感觉还有一点的细节适合我们的这些萌新去学习。 input解题 input细节 其他的我看了好久的是,其中的细节问题,其中一个是题目虽然是input,但是在访问的适合却是input2@pwnable.kr,这个需要注意一下,而且在上传文件的是在你最原始的界面,也就是你一开始打开终端的root界面,之后执行命令 scp -P ...
Toddler Tap-开源
07-20
一个针对看到您使用键盘并希望这样做的幼儿的项目。 在其当前配置中,该项目将显示一个项目、单词并说出与按下的键相关的单词。
A Toddler Game-开源
05-26
幼儿游戏(1-4岁),可教授字母和数字的声音,并具有其他基本的教育内容。 这是使用SDL用C#编写的。 它是在Linux上编写的,但应在具有Mono(或.NET)和SDL的任何文件上运行。
Kids Key - Alphabet Training for Toddler-开源
04-28
一个适合小孩(1-4岁)的简单“游戏”,它使用字母和骑车颜色来帮助教导和增强ABC的颜色和数字。 这是向幼儿和父母可以理解并从中受益的简单计算迈出的一步。
toddler-ng:下一代Toddler,一款精心设计的可用便携式微内核操作系统
03-05
幼儿下一代幼儿主要目标用C99编写...并兼容多引导更多架构-OpenRISC,HPPA,SuperH,IA64,s390,VAX状态计划=尚未开始初始=初步探索活动=积极开发当前=最新拱目标装载机哈尔笔记ia32-pc-multiboot 当前的积极的需进行
pwnable.kr】input
think_ycx的专栏
07-10 897
下载程序(注意要用bash,zsh报错zsh: no matches found: input2@pwnable.kr:/home/input2/*)scp -P 2222 -p input2@pwnable.kr:/home/input2/* ./
pwnable中的input题目对Linux中的文件系统的初步了解
mylyylmy的博客
08-01 198
首先登陆题目所给的虚拟中可以看到程序的源代码 题目是通过五个验证条件之后系统执行打开Flag的操作,第一个是传入的参数是100个并且 agrv['A']有特殊的值,其中可以看到'A'要转换为ASII码就是特殊的数组位置有特殊的数值,但是该数值在命令行中不能直接输入,所以绕过第一种验证有两种方法,一个是python  printf,另一个是通过C程序输入函数的参数 C语言向函数中输入参数的...
[pwnable.kr] input
ACdream
08-03 2666
网上最全的题解在这:input题解 知识点细节看上面那个题解就好了,非常详细 细节问题折腾好久,来学习一下: 如何把input文件放上去?有两种方法: A:WinSCP,注意tmp文件我们没有足够权限,只有把文件放进去的权限,拖进去了就好 B:用scp命令,推荐个学习博客:scp命令学习 注意哦,修改端口是大写 scp -P 2222 inputpwn.c input@p
通过pwnable.kr从零学pwn
热门推荐
giantbranch的专栏
07-31 1万+
本文链接:http://blog.csdn.net/u012763794/article/details/51992512 下面的这个地址很多ctf的学习资源都是有推荐的 挑战地址:http://pwnable.kr/play.php fd 首先不用说给了就直接连上去 看一下代码 重要函数:read ssize_t read(int fd,void *
pwnable.kr —— input题解
Yannie's Blog
12-14 584
哎,做完这道题,才深知自己c语言功底渣到不行,假期一定狂补一下c语言基础语法,不然就太菜了 这道题就很有意思了,完全是考察你的c语言功底 我们就直接来看源码吧 #include &amp;amp;lt;stdio.h&amp;amp;gt; #include &amp;amp;lt;stdlib.h&amp;amp;gt; #include &amp;amp;lt;string.h&amp;amp;gt; #include &amp;amp;lt;sy
pwnable 笔记 Toddler's Bottle - bof
HiTaQini
11-16 1897
缓存区溢出
pwnable.kr simple login
you_need_me的博客
06-02 257
点击打开链接
pwnable.kr第二遍---input
leeham的博客
03-16 561
&gt;&gt;&gt;input1.命令whoami---input2groups---input2ls -l:发现其他用户对input2可执行文件没有执行权限;只对文件ownerinput2组用户有该权限;然后发现input2用户也位于input2-group中2.字符与数字之间的转换各进制之间的转换chr ord bin oct int hex字符和ascii:chr ord转成十进制:i...
pwnable - input
dibanfu3470的博客
05-20 177
step by step https://pwnable.kr/play.php 连接上,查看文件 input.c内容: #include <stdio.h> #include <stdlib.h> #include <string.h> #include <sys/socket.h> #include &lt...
字符串["Baby","Toddler","Kids","Matching-Outfits","Maternity-Nursing","Licensed-Characters","Home-Baby-Gear","Shoes-Accessories"]转为java数组
最新发布
12-07
以下是将字符串["Baby","Toddler","Kids","Matching-Outfits","Maternity-Nursing","Licensed-Characters","Home-Baby-Gear","Shoes-Accessories"]转换为Java数组的代码示例: ```java String[] strArr = {"Baby",...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

TaQini852

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值