pwnable----lotto和cmd1
lotto
- 连上去看源代码,发现关键代码
- 分析
输入一个 6 字节的字符串,与程序随机生成的 6 字节字符串比较。
看第一个for循环这里是一个acsii码1-45,但可显示的是从33-45,
第二个for循环嵌套的意思是将输入的6个字节与系统的生成的6个字节只要有一个相同就能cat flag。 - 这里我选的的’’’’’’
cmd1
- 连接上去,看源代码
#include <stdio.h>
#include <string.h>
int filter(char* cmd){
int r=0;
r += strstr(cmd, "flag")!=0;
r += strstr(cmd, "sh")!=0;
r += strstr(cmd, "tmp")!=0;
return r;
}
int main(int argc, char* argv[], char** envp){
putenv("PATH=/thankyouverymuch");
if(filter(argv[1])) return 0;
system( argv[1] );
return 0;
}
- 分析
strstr:
strstr:C 库函数 char *strstr(const char *haystack, const char *needle) 在字符串 haystack 中查找第一次出现字符串 needle 的位置,不包含终止符 ‘\0’。
该函数返回在 haystack 中第一次出现 needle 字符串的位置,如果未找到则返回 null。
putenv:
putenv是用来改变或增加环境变量的内容。
再根据源代码,我们可以知道,只要cmd中不包括flag sh tmp,就可以执行到system函数中,此时我们的argv[1]中如果包含有cat flag的话,就可以利用cmd1得到flag。
所以我们期望执行的命令是 /bin/cat flag ,因为传递的参数中不能出现 “flag” ,所以我们可以用通配符, 构造命令:
/bin/cat fla?
3.就能get flag