此题为 pwnable.kr 中 toddler级别的第一题,
涉及对代码逻辑漏洞利用的相关知识。
思路来自于大师傅,当前处于学习阶段,硬碰硬的效率显然低于先学习题解。
原题链接:https://pwnable.kr/play.php
题目信息:
ssh连上之后,显示所在目录为 /home/fd
当前目录下有三个文件:
- 可执行文件 fd
- 可读文件 fd.c
- 不可执行文件 flag
尝试执行fd:
提示需要给出一个数字,给出数字后,打印出类似提示的一句:了解linux文件读写
看一下源码:
//fd.c
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
char buf[32];
int main(int argc, char* argv[], char* envp[]){
if(argc<2){
printf("pass argv[1] a number\n");
return 0;
}
int fd = atoi( argv[1] ) - 0x1234;
int len = 0;
len = read(fd, buf, 32);
if(!strcmp("LETMEWIN\n", buf)){
printf("good job :)\n");
system("/bin/cat flag");
exit(0);
}
printf("learn about Linux file IO\n");
return 0;
}
可以发现,如果在运行时没有给出参数的话,argc=11,则第一个if分支会返回0,所以必须给出参数,。
而后,给出的参数放入argv[1]中,经atoi转化为一个整型值,减去0x1234;
下面,出现了一个read函数,在接下来的if分支中,如果buf的值为“LETMEWIN”,则打印出flag。于是乎现在的问题就是:如何修改buf缓冲区的值呢?
这里考到了read函数的一个特性2:
read (int fd, void *buf, size_t count);
read函数的功能为:从fd所指的文件中,读取count个字节的数据,到buf所指的缓冲区中。
而当fd为0时,read函数将从命令行读入一个标准输入stdin。
这是linux下的特性
stdin 0 标准输入
stdout 1 标准输出
stderr 2 标准错误输出
所以,我们只要令fd=0,就可以使得read从命令行读取输入到buf中,我们就获得了重写buf的机会。则只需利用运行时的参数,使argv为0x1234即可。转为十进制是4660,因为atoi会对输入的字符串当做十进制来理解。
于是,在运行./fd.c时,传入参数为4660,回车后输入“LETMEWIN”
flag如图所示
这是开始学习的第一道pwn题,总结一下思路(套路):
- ssh或nc连上
- 查看当前目录下所有可疑文件
- 运行能运行的程序。
- 查看源码。
- 找到溢出点。
- 输入对应字符。
- 获取 flag。
本题涉及的知识包括
- main函数的参数
- linux下read()函数参数与标准输入输出
- atoi函数特性。
未涉及溢出,主要是利用了对buf数据的要求,构造了参数。
main函数的argc参数记录从命令行启动时的所有输入参数的个数,包括类似于./fd.c的命令,而argv存储了所有的命令行参数,本题中argv[0]为./fd.c、argv[1]为第一个参数。main函数的参数如何理解 ↩︎