pwnable.kr fd

一次机缘巧合，让我接触到 CTF 。于是，开启了我的新征程……

源地址

pwnable.kr: pwnable.kr

源码分析

使用 Linux 终端登录到题目中所提供的服务器后，使用 ls 命令查看目录文件。发现当前目录下有三个文件：fd fd.c flag
既然有源代码，那我们直接使用 cat 命令查看一下 fd.c 源码。

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21

#include <stdio.h> #include <stdlib.h> #include <string.h> char buf[ 32]; int main(int argc, char* argv[], char* envp[]){ if(argc< 2){ printf( "pass argv[1] a number\n"); return 0; } int fd = atoi( argv[ 1] ) - 0x1234; int len = 0; len = read(fd, buf, 32); if(! strcmp( "LETMEWIN\n", buf)){ printf( "good job :)\n"); system( "/bin/cat flag"); exit( 0); } printf( "learn about Linux file IO\n"); return 0; } `

从源代码中我们可以分析出，执行该文件需要传一个参数。要拿到 flag 需要使得：strcmp(“LETMEWIN\n”, buf) == true;而 buf 只在上文的 read(fd, buf, 32) 中出现过。于是，这里就需要我们对 read() 函数进行分析.

read 函数

函数原型

1	ssize_t read( int fd, void* buf, size_t count)

返回值

正确：返回读取的字节数
错误：返回 -1 并设置 error
如果 fd 本身

参数解释

int fd: 文件指针
void* buf: 读上来的数据保存在缓冲区 buf 中，同时文件的当前读写位置向后移
size_t count: 请求读取的字节数。如果 count 为 0，则 read 函数不会起作用且返回值为 0。

下面介绍来源于网络：

read
函数从打开的设备或文件中读取数据。

#include <unistd.h>    
ssize_t read(int fd, void *buf, size_t count);  
返回值：成功返回读取的字节数，出错返回-1并设置errno，如果在调read之前已到达文件末尾，则这次read返回0
参数
count
是请求读取的字节数，读上来的数据保存在缓冲区buf中，同时文件的当前读写位置向后移。注意这个读写位置和使用C标准I/O库时的读写位置有可能不同，这个读写位置是记在内核中的，而使用C标准I/O库时的读写位置是用户空间I/O缓冲区中的位置。比如用fgetc读一个字节，fgetc有可能从内核中预读1024个字节到I/O缓冲区中，再返回第一个字节，这时该文件在内核中记录的读写位置是1024，而在FILE结构体中记录的读写位置是1。注意返回值类型是ssize_t，表示有符号的size_t，这样既可以返回正的字节数、0（表示到达文件末尾）也可以返回负值-1（表示出错）。
read函数返回时，返回值说明了buf中前多少个字节是刚读上来的。有些情况下，实际读到的字节数（返回值）会小于请求读的字节数count，例如：读常规文件时，在读到count个字节之前已到达文件末尾。例如，距文件末尾还有30个字节而请求读100个字节，则read返回30，下次read将返回0。

参考博客：http://blog.csdn.net/hjhcs121/article/details/7460738

read 函数测试

其实吧，上面的 read 函数解释也是百度求得（苦于没有在 stdio.h stdlib.h string.h 三个头文件中找不到源代码的我）。但是对于其工作原理还是不甚了解于是暂开了如下测试：

测试源码

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20

#include <stdio.h> #include <stdlib.h> #include <string.h> char buf[ 32]; int main(int argc, char* argv[], char* envp[]){ if(argc< 2){ printf( "pass argv[1] a number\n"); return 0; } int fd = atoi( argv[ 1] ) - 0x1234; int len = 0; len = read(fd, buf, 0); // 这里 count 值为 0 printf( "len = %d\n", len); // 增加了一个输出语句 if(! strcmp( "LETMEWIN\n", buf)){ printf( "good job :)\n"); exit( 0); } printf( "learn about Linux file IO\n"); return 0; }

测试输入如下：

root@ultravires:~# ./test 4658
len = -1
learn about Linux file IO
root@ultravires:~# ./test 4659
len = -1
learn about Linux file IO
root@ultravires:~# ./test 4660
len = 0
learn about Linux file IO
root@ultravires:~# ./test 4661
len = 0
learn about Linux file IO
root@ultravires:~# ./test 4662
len = 0
learn about Linux file IO
root@ultravires:~# ./test 4663
len = -1
learn about Linux file IO
root@ultravires:~# ./test 4664
len = -1
learn about Linux file IO

提示：0x1234 的十进制为 4660

我们可以看到，其中有三个输入：4660 4661 4662 的返回值都是 0 （哎呀妈呀，我 c 真没学好！sizeof(int) = 4 ?）

解题

在对 read 函数有了一丝了解后，我们使得 fd 等于 0，即 argv[1] = 0x1234 = 4660。

1 2 3 4

$ ./fd 4660 LETMEWIN good job :) mommy! I think I know what a file descriptor is!!

其实通过测试我们可以知道 4661 4662 也都是可以的。

最终得到 flag: mommy! I think I know what a file descriptor is!!