pwnable-fd

pwnable-fd

前言

这是第一篇关于pwnable的文章，所以步骤稍微详细一点(markdown目前使用不熟练，所以排版可能有点丑)。

实现步骤

1. 最终命令如下

echo -e "LETMEWIN\n\0" | ./fd 4660

2. 详细过程

1. 点击fd图标

这是关于目标的信息，比如这次是让我们通过 ssh 命令连接远程主机，密码是 guest

2. 连接并查看当前目录信息

1. 可以看到 flag 文件，只能被用户 fd_pwn 或者 root 组读取, 当前登录用户为 fd , 无法直接读取 flag文件。
2. fd 有 s¹ 特殊权限，那么我们在执行 fd 时，就会拥有 fd 文件拥有者的权限, 即 fd_pwn , 那么在 fd 程序中，我们就能查看flag文件的内容

3. 源码分析

1. 观察代码, 分析最终要求分支进入 if ，然后调用 system 执行 /bin/cat flag 输出flag文件的内容
2. 在 if 中要求 buf 里面的数据为 LETMEWIN\n
3. buf中的数据是通过读取文件(文件描述符²)中的数据实现的
4. 文件描述符 fd 是通过 fd = atoi(argv[1] - 0x1234 求得的, atoi 作用为 string to int
5. 那么基本思路就是将 fd 置为 0， 即标准输入读入数据填充buf

5. 注入

   1. 要将 fd 值 0, 读入argv[1]的数据为 4660， 即 0x1234 的十进制表示
   2. 要从标准输入读入数据，通过管道符 |³ 实现
   3. 通过 echo -e 能够输出转义字符
   4. 注意字符串最后要通过 \0 截断
   5. 最终命令为:

   echo -e "LETMEWIN\n\0" | ./fd 4660
   

   

   4. 将最后一行复制下来提交就行

---

1. Lnux权限管理 ↩︎

2. 文件描述符 ↩︎

3. Linux管道符 ↩︎