【pwnable.kr】 input

最新推荐文章于 2020-07-10 11:33:21 发布
最新推荐文章于 2020-07-10 11:33:21 发布
阅读量226 收藏
点赞数
分类专栏: Pwnable.kr

https://r00tnb.github.io/2018/01/12/pwnable.kr-input/

前言

这道题对于我来说挺麻烦,整个题目分了五个阶段,涉及进程通信,socket等内容。对,就是考察linux基础的,但是我得承认我对这些不熟,所以还是查了半天资料做出来的,最后题目还有个大坑。

分析

首先还是分析源码

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67

#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <sys/socket.h>
#include <arpa/inet.h>

int main(int argc, char* argv[], char* envp[]){
	printf("Welcome to pwnable.kr\n");
	printf("Let's see if you know how to give input to program\n");
	printf("Just give me correct inputs then you will get the flag :)\n");

	// argv
	if(argc != 100) return 0;
	if(strcmp(argv['A'],"\x00")) return 0;
	if(strcmp(argv['B'],"\x20\x0a\x0d")) return 0;
	printf("Stage 1 clear!\n");	

	// stdio
	char buf[4];
	read(0, buf, 4);
	if(memcmp(buf, "\x00\x0a\x00\xff", 4)) return 0;
	read(2, buf, 4);
        if(memcmp(buf, "\x00\x0a\x02\xff", 4)) return 0;
	printf("Stage 2 clear!\n");
	
	// env
	if(strcmp("\xca\xfe\xba\xbe", getenv("\xde\xad\xbe\xef"))) return 0;
	printf("Stage 3 clear!\n");

	// file
	FILE* fp = fopen("\x0a", "r");
	if(!fp) return 0;
	if( fread(buf, 4, 1, fp)!=1 ) return 0;
	if( memcmp(buf, "\x00\x00\x00\x00", 4) ) return 0;
	fclose(fp);
	printf("Stage 4 clear!\n");	

	// network
	int sd, cd;
	struct sockaddr_in saddr, caddr;
	sd = socket(AF_INET, SOCK_STREAM, 0);
	if(sd == -1){
		printf("socket error, tell admin\n");
		return 0;
	}
	saddr.sin_family = AF_INET;
	saddr.sin_addr.s_addr = INADDR_ANY;
	saddr.sin_port = htons( atoi(argv['C']) );
	if(bind(sd, (struct sockaddr*)&saddr, sizeof(saddr)) < 0){
		printf("bind error, use another port\n");
    		return 1;
	}
	listen(sd, 1);
	int c = sizeof(struct sockaddr_in);
	cd = accept(sd, (struct sockaddr *)&caddr, (socklen_t*)&c);
	if(cd < 0){
		printf("accept error, tell admin\n");
		return 0;
	}
	if( recv(cd, buf, 4, 0) != 4 ) return 0;
	if(memcmp(buf, "\xde\xad\xbe\xef", 4)) return 0;
	printf("Stage 5 clear!\n");

	// here's your flag
	system("/bin/cat flag");	
	return 0;
}

 

整个程序先是检验main函数传入参数,环境变量。然后读取0和2文件描述符内容进行比较,之后读取\x0a这样的看似特殊的文件有进行一番比较,最后设置了一个socket服务端等待连接读取数据再进行比较。
总共五步,我只简要的分析,懂得linux基础的并不难。
对于传入参数和环境变量,可以直接使用execve函数来构造,它的原型是

1
2

int execve(const char* filepath,char* const argv[],char* const envp[]);
返回值:当执行成功时不返回,失败返回-1

 

对于读取指定文件描述符,可以使用管道与新建进程通信,同时记得使用dup2函数重定向到指定文件描述符。
对于特殊文件名文件,直接新建一个就好了并不特殊。
对于socket,自己建一个客户端连上去并发送指定数据。
最后,会发现我写的exp咋不能传上去。是的,你没有权限,但是可以传到/tmp文件夹下,这个文件夹默认任何用户可读写。然后还要使用ln命令建立一个到~/flag的链接,不然读不到flag
最后的最后附上解决代码:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62

#include<stdio.h>
#include<stdlib.h>
#include<string.h>
#include<sys/socket.h>
#include<arpa/inet.h>
#include<unistd.h>
#include<errno.h>

extern int errno;
int main(){
    //argv
    char* argv[101]={"~/input2",[1 ... 99]="A",NULL};
    argv['A'] = "\x00";
    argv['B'] = "\x20\x0a\x0d";
    argv['C'] = "1314";
    

    //env
    char* env[]={"\xde\xad\xbe\xef=\xca\xfe\xba\xbe",NULL};

    //File
    FILE* fp = fopen("\x0a","w");
    if(!fp){
        puts("file open failed!");
        return 0;
    }
    fwrite("\x00\x00\x00\x00",4,1,fp);
    fclose(fp);

    //stdio.h
    int fd[2];
    pid_t pid;
    if(pipe(fd)<0){
        printf("pipe error!\n");
        return 0;
    }
    write(fd[1],"\x00\x0a\x00\xff\x00\x0a\x02\xff",8);
    pid = fork();
    if(pid<0) return 0;
    if(pid == 0){
        dup2(fd[0],0);
        dup2(fd[0],2);
        printf("exec working!\n");
        if(-1 == execve("/home/input2/input",argv,env)){
            puts("exec error!");
        }
    }
    else{
        sleep(3);
        int sock;
        struct sockaddr_in addr;
        sock = socket(AF_INET,SOCK_STREAM,0);
        addr.sin_family = AF_INET;
        addr.sin_addr.s_addr = inet_addr("127.0.0.1");
        addr.sin_port = htons(atoi(argv['C']));
        connect(sock,(struct sockaddr*)&addr,sizeof(addr));
        write(sock,"\xde\xad\xbe\xef",4);
        close(sock);
        sleep(1);
    }
    return 0;
}

 

插曲

按照我的想法,应该就可以高高兴兴的拿到flag了啊。可是却出现了意外:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15

input2@ubuntu:~$ cd /tmp
input2@ubuntu:/tmp$ ln -s ~/flag flag
input2@ubuntu:/tmp$ ./poc
-bash: ./poc: No such file or directory
input2@ubuntu:/tmp$ ./poc
exec working!
Welcome to pwnable.kr
Let's see if you know how to give input to program
Just give me correct inputs then you will get the flag :)
Stage 1 clear!
Stage 2 clear!
Stage 3 clear!
Stage 4 clear!
Stage 5 clear!
input2@ubuntu:/tmp$

 

什么?全部通关竟然不给flag?这就是我前面提到的大坑了。后来实在想不明白,看了别人的flag,我草,他们竟然在/tmp/input/目录里搞得,有着目录吗?还真有

1
2
3

input2@ubuntu:/tmp$ ls input
?  coin1.py  err_file  file  fla  flag	poc  solve.py  $’x0a’
input2@ubuntu:/tmp$

 

于是就能getflag了(事先一点线索都没有啊)

1
2
3
4
5
6
7
8
9
10
11
12

input2@ubuntu:/tmp/input$ ./poc
exec working!
Welcome to pwnable.kr
Let's see if you know how to give input to program
Just give me correct inputs then you will get the flag :)
Stage 1 clear!
Stage 2 clear!
Stage 3 clear!
Stage 4 clear!
Stage 5 clear!
Mommy! I learned how to pass various input in Linux :)
input2@ubuntu:/tmp/input$

 

总结

这道题把linux中基础且重要的东西融合在一起(有点生硬),考的我措手不及马上复习了一下,挺好的。推荐我读的书《UNIX系统编程手册 ((德)Michael Kerrisk) 》

子曰小玖
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
apachecn#apachecn-ctf-wiki#PWN-dragon-echo1-echo2-[pwnable.kr]CT
07-25
1. malloc person 2. malloc dragon 3. free dragon
mWeb:避免warning.or.kr
05-29
【标题】"mWeb:避免warning.or.kr"指的是在使用mWeb编辑器或者浏览网页时,如何处理或规避与"warning.or.kr"相关的警告信息。这通常涉及到网络安全、浏览器设置以及可能的网络钓鱼攻击。 【描述】"万维网 避免...
pwnable.krinput
river
05-07 3497
input 这道题有点麻烦。 一共有五个阶段,需要突破,参考链接里讲的很详细了,自己没有太多的理解。感觉基础差太多了,像进程间通信,Linux管道技术,网络 编程,都需要加强。   在这里记录几个自己的学到的姿势吧: 1   argv['A'] = "\x00";      argv['B'] = "\x20\x0a\x0d";      argv['C'] ="55555"; 
Pwnable.kr---input
leeham的博客
10-29 1103
Pwnable.krinput解题思路:题目代码很明显,要求我们一共通过五个关卡,才能执行到system()函数,cat flag;那就只能一个一个来过了,分解目标。这里使用C来编写脚本文件,调用input
pwnable.kr-input
qq_35661990的博客
09-19 290
难点感觉是linux下的父进程和子进程间的通道搭建,和搭建socket客户端 #include &lt;stdio.h&gt; #include &lt;stdlib.h&gt; #include &lt;string.h&gt; #include &lt;sys/socket.h&gt; #include &lt;arpa/inet.h&gt; int main(int argc, cha...
pwnable.kr input
CODER的博客
07-10 215
1. 编写脚本 import os,socket,sys,time,subprocess #argv args = ['filename'] + ["A"] * 99 args[ord('A')] = "" args[ord('B')] = "\x20\x0a\x0d" args[ord('C')] = "8444" #stdio stdinr, stdinw = os.pipe() stderrr, stderrw = os.pipe() os.write(stdinw,"\x00\x0a\x00\
pwnable.kr [input]
shisuan1的博客
12-02 245
pwnable.kr [input] Mom? how can I pass my input to a computer program? ssh input2@pwnable.kr -p2222 (pw:guest) input.c 的代码 #include &amp;lt;stdio.h&amp;gt; #include &amp;lt;stdlib.h&amp;gt; #include &amp;lt;string.h&amp;gt
pwnable_kr:壳牌我们玩游戏吗?
05-14
Pwnable.kr 此仓库将保存我对pwnable.kr wargames的解决方案 [婴儿奶瓶] fd 碰撞 转炉 旗帜 密码 随机的 输入 腿 错误 炮击 硬币1 二十一点 乐透 命令1 命令2 af 码图 Memcpy 汇编 取消连结 ...
boj.kr:解决boj.kr的问题
03-20
【标题】"boj.kr:解决boj.kr的问题" 指的是在Boj.kr这个在线编程平台上遇到的挑战或技术难题。Boj.kr是一个流行的学习和竞技编程平台,主要支持C++等编程语言,用户可以在这里提交代码,解决各种算法问题。 【描述...
codeup.kr
03-19
"codeup.kr" 是一个与编程挑战和在线学习平台相关的项目,主要针对C语言的学习者和实践者。这个压缩包中的 "codeup.kr-master" 文件很可能是该项目的主分支或源代码库,通常在GitHub等版本控制系统中,master分支...
pwnable.kr题解之input
Yale的博客
06-19 578
0x01前言:这关其实和pwn关系不大,主要考察的都是linux下一些函数的操作,考察linux的基本功。涉及到的知识点包括一些经典的函数原型、IO重定向、文件描述符、管道、环境变量、socket编程、符号链接等。 这里顺便真心安利一本书,《UNIX环境高级编程》,简称APUE书里介绍UNIX文件和目录、标准I/O库、系统数据文件和信息、进程环境、进程控制、进程关系、信号、线程、线程控制、守护进程、各种I/O、进程间通信、网络IPC、伪终端等方面的内容,还在此基础上结合函数原型介绍了多个应用示例,如果这本书
pwnable.kr [Toddler's Bottle] - input
Re:Umiade.tr
03-13 1209
这题流程相对较长,考查Linux编程的基本功(笔者做到这题不禁感叹自己基本功还是欠了不少火候)。 在一开始,尝试写Python脚本去完成验证,但stage 2关于stdio的验证却苦无思路。 这里感谢werew在他的writeup中提供的解决思路,这才豁然开朗。 参考链接:https://werewblog.wordpress.com/2016/01/11/pwnable-kr-input/关
pwnable.kr第二遍---input
leeham的博客
03-16 567
&gt;&gt;&gt;input1.命令whoami---input2groups---input2ls -l:发现其他用户对input2可执行文件没有执行权限;只对文件owner和input2组用户有该权限;然后发现input2用户也位于input2-group中2.字符与数字之间的转换各进制之间的转换chr ord bin oct int hex字符和ascii:chr ord转成十进制:i...
[pwnable.kr] input
ACdream
08-03 2671
网上最全的题解在这:input题解 知识点细节看上面那个题解就好了,非常详细 细节问题折腾好久,来学习一下: 如何把input文件放上去?有两种方法: A:WinSCP,注意tmp文件我们没有足够权限,只有把文件放进去的权限,拖进去了就好 B:用scp命令,推荐个学习博客:scp命令学习 注意哦,修改端口是大写 scp -P 2222 inputpwn.c input@p
pwnable.kr —— input题解
Yannie's Blog
12-14 591
哎,做完这道题,才深知自己c语言功底渣到不行,假期一定狂补一下c语言基础语法,不然就太菜了 这道题就很有意思了,完全是考察你的c语言功底 我们就直接来看源码吧 #include &amp;amp;lt;stdio.h&amp;amp;gt; #include &amp;amp;lt;stdlib.h&amp;amp;gt; #include &amp;amp;lt;string.h&amp;amp;gt; #include &amp;amp;lt;sy
pwnable.krinput(看了好久好久的题目和网上的wp....)
Jason_ZhouYetao的博客
06-11 443
本来这题也没有什么的思路,在看了一位大佬的博客之后,自己感觉还有一点的细节适合我们的这些萌新去学习。 input解题 input细节 其他的我看了好久的是,其中的细节问题,其中一个是题目虽然是input,但是在访问的适合却是input2@pwnable.kr,这个需要注意一下,而且在上传文件的是在你最原始的界面,也就是你一开始打开终端的root界面,之后执行命令 scp -P ...
pwnable.kr-input WP
Casuall的博客
04-17 352
首先连进去运行一下 查看一下源码 #include <stdio.h> #include <stdlib.h> #include <string.h> #include <sys/socket.h> #include <arpa/inet.h> int main(int argc, char* argv[], char* envp[]...
input - pwnable
SkYe's Blog
08-30 310
input - pwnable 1.获取题目 我们先用ssh链接上pwnable的服务器获取题目。在终端输入ssh input2@pwnable.kr -p2222,出现提示后输入密码guest 查看目录下有的文件以及文件权限ls -l 2. 运行程序 直接运行,提示需要我们给出正确的输入才能获得flag。 由于这题不涉及栈溢出等等操作,而是涉及有关于linux下的输入与输出的相关知识,就不查...
input_WriteUp(pwnable.kr_input)文件的输入
Hvnt3r的博客
08-07 301
本题代码很长 题面 Mom? how can I pass my input to a computer program? ssh input2@pwnable.kr -p2222 (pw:guest) 代码 #include &lt;stdio.h&gt; #include &lt;stdlib.h&gt; #include &lt;string.h&gt; #include ...
使用python 多线程爬取 https://www.ppomppu.co.kr/zboard/zboard.php?id=freeboard&hotlist_flag=999 网站
最新发布
05-30
这个程序会爬取 https://www.ppomppu.co.kr/zboard/zboard.php?id=freeboard&hotlist_flag=999 网站的前5页内容,并使用5个线程进行爬取,提高爬取效率。 你可以根据需要修改程序中的线程数量和爬取页面的数量。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值