mistake - pwnable
1.获取题目
我们先用ssh链接上pwnable的服务器获取题目。在终端输入ssh mistake@pwnable.kr -p2222
,出现提示后输入密码guest
查看目录下有的文件以及文件权限ls -l
2. 运行程序
直接运行:提示“do not bruteforce…”,程序停止直到按下回车。提示“input password:”要求输入密码,随意输入后提示"wrong password"后退出程序。
3. 分析源码
题目有给出源码,cat mistake.c
#include <stdio.h>
#include <fcntl.h>
#define PW_LEN 10
#define XORKEY 1
void xor(char* s, int len){
int i;
for(i=0; i<len; i++){
s[i] ^= XORKEY;//异或运算
}
}
int main(int argc, char* argv[]){
int fd;
//检测能否打开password文件
if(fd=open("/home/mistake/password",O_RDONLY,0400) < 0){
printf("can't open password %d\n", fd);
return 0;
}
printf("do not bruteforce...\n");
sleep(time(0)%20);
char pw_buf[PW_LEN+1];
int len;
if(!(len=read(fd,pw_buf,PW_LEN) > 0)){
printf("read error\n");
close(fd);
return 0;
}
char pw_buf2[PW_LEN+1];
printf("input password : ");
scanf("%10s", pw_buf2);
// xor your input
xor(pw_buf2, 10);
if(!strncmp(pw_buf, pw_buf2, PW_LEN)){
printf("Password OK\n");
system("/bin/cat flag\n");
}
else{
printf("Wrong Password\n");
}
close(fd);
return 0;
}
程序整体的运行思路是:
首先读入password文件中的字符,存储在pw_buf;
要求输入password,存储在pw_buf2;
对pw_buf2进行异或运算;
比较pw_buf 和 pw_buf2;
如果按照程序运行的思路,我们需要做的应该是找到存储在pw_buf中password的值。
但是题目提示的是命令的优先级(hint : operator priority),关键地方在这里:
if(fd=open("/home/mistake/password",O_RDONLY,0400) < 0){
printf("can't open password %d\n", fd);
return 0;
}
程序的设计思路应该是先打开文件赋值给变量fd,然后再和0进行比较。但是,<
的优先级别高于=
。也就是说实际上程序运行是:打开文件,然后与0比较之后,再赋值给fd。
打开文件的状态返回值大于零(只要文件存在),也就是说open("/home/mistake/password",O_RDONLY,0400) < 0
的运行结果是0(False),fd = 0
这会导致下面这行代码,从文件读入变成在命令行输入:
if(!(len=read(fd,pw_buf,PW_LEN) > 0)){
printf("read error\n");
close(fd);
return 0;
}
也就是存储在pw_buf中的值,是我们通过命令行输入的,而不是password文件中的值。
方便起见我们就让pw_buf的值等于0000000000
,那么对应的我们在提示输入密码行应该输入的是0000000000与1异或运算后的值1111111111。
4. 总结
- C语言中 < 的运算优先级大于 = 。运算符优先级