pwnable.kr之input
连接到远程服务器:ssh input2@pwnable.kr -p2222
查看题目所给的代码,根据题目的要求我们要给出所有符合条件的输入才能拿到flag,本来想在输入上动点歪脑筋,结果输入有字节数的限制,然后再查看一下程序是否有保护
Arch: amd64--little
RELRO: Partial RELRO
Stack: Canary found
NX: NX enabled
PIE: No PIE (0x400000)
发现有栈溢出和数据执行保护,就绝了走捷径的心思。
查看代码知道有五步要走,为了检测每步是否正确,使用命令:scp -P 2222 input2@pwnable.kr:/home/input2/input /home/countfatcode/Code 把input文件下载到本地。
scp命令详解请看:https://blog.csdn.net/sanbingyutuoniao123/article/details/72420637
第一部分:argv
// argv
if(argc != ) return ;
if(strcmp(argv['A'],"\x00")) return ;
if(strcmp(argv['B'],"\x20\x0a\x0d")) return ;
printf("Stage 1 clear!\n");
因为要传入的参数过多,可以用 execve() 函数来实现。
函数详解请看:https://www.cnblogs.com/jxhd1/p/6706701.html
于是可以构造c语言代码:
#include <stdio.h>
#include <stdlib.h>
int main()
{
char *argv[]={"input",[ ... ]="A",NULL};
argv['A']="\x00";
argv['B']="\x20\x0a\x0d";
execve("input",argv,NULL);
return ;
}
编译运行,得到结果:
Welcome to pwnable.kr
Let's see if you know how to give input to program
Just give me correct inputs then you will get the flag :)
Stage clear!
第二部分:stdio
查看代码:
// stdio
char buf[];
read(, buf, );
if(memcmp(buf, "\x00\x0a\x00\xff", ))
return ;
read(, buf, );
if(memcmp(buf, "\x00\x0a\x02\xff", ))
return ;
printf("Stage 2 clear!\n");
第一个 read() 函数的文件描述符是0,表示从终端读入字符,第二个 read() 函数的文件描述符是 2,表示从标准错误输出读入字符,此时就要用到 pipe管道来解决。
pipe详解:https://blog.csdn.net/skyroben/article/details/71513385
因为有两个read,所以要创建两个管道,代码如下:
int fd1[],fd2[];
int ret1,ret2; //用来接受pipe函数的返回值
ret1=pipe(fd1);
if(ret1==-)
{
perror("pipe fd1 error:");
exit();
}
ret2=pipe(fd2);
if(ret2==-)
{
perror("pipe fd2 error:");
exit();
}
再用 fork() 创建子进程,代码如下:
pid_t id=fork()
第二部分完整代码如下:
//stdio
int fd1[],fd2[];
int ret1,ret2; //用来接受pipe函数的返回值
ret1=pipe(fd1);
if(ret1==-)
{
perror("pipe fd1 error:");
exit();
}
ret2=pipe(fd2);
if(ret2==-)
{
perror("pipe fd2 error:");
exit();
}
pid_t id=fork();
if(id==) //子进程
{
close(fd1[]);
close(fd2[]); //关闭子进程读端
write(fd1[],"\x00\x0a\x00\xff",);
write(fd2[],"\x00\x0a\x02\xff",);
}
else //父进程
{
close(fd1[]);
close(fd2[]);
dup2(fd1[],);
dup2(fd2[],);//文件描述符重定向
close(fd1[]);
close(fd2[]); //env
char *env[]={"\xde\xad\xbe\xef=\xca\xfe\xba\xbe",NULL}; //file
FILE *fp=fopen("\x0a","w");
if(fp==NULL)
printf("文件打开失败\n");
else
{
fwrite("\x00\x00\x00\x00",,,fp);
fclose(fp);
execve("input",argv,env);
}
}
将一二部分的代码结合起来运行一下,发现正确。
第三部分:env
查看代码:
// env
if(strcmp("\xca\xfe\xba\xbe", getenv("\xde\xad\xbe\xef"))) return ;
printf("Stage 3 clear!\n");
getenv() 函数的作用是获取环境变量名为 \xde\xad\xbe\xef 的变量值,这时就要用 execve() 的第三个参数来构造该环境变量,具体代码如下:
//env
char *env[]={"\xde\xad\xbe\xef=\xca\xfe\xba\xbe",NULL};
结合一二部分的代码运行,发现正确。
第四部分:file
查看代码:
// file
FILE* fp = fopen("\x0a", "r");
if(!fp) return ;
if( fread(buf, , , fp)!= ) return ;
if( memcmp(buf, "\x00\x00\x00\x00", ) ) return ;
fclose(fp);
printf("Stage 4 clear!\n");
这部分是关于文件操作,具体代码如下:
//file
FILE *fp=fopen("\x0a","w");
if(fp==NULL)
printf("文件打开失败\n");
else
{
fwrite("\x00\x00\x00\x00",,,fp);
fclose(fp);
execve("input",argv,env);
}
再结合第一二三部分的代码运行,正确。
第五部分:network
第五题主要涉及的是socket编程,题目给的代码是:
// network
int sd, cd;
struct sockaddr_in saddr, caddr;
sd = socket(AF_INET, SOCK_STREAM, );
if(sd == -){
printf("socket error, tell admin\n");
return ;
}
saddr.sin_family = AF_INET;
saddr.sin_addr.s_addr = INADDR_ANY;
saddr.sin_port = htons( atoi(argv['C']) );
if(bind(sd, (struct sockaddr*)&saddr, sizeof(saddr)) < ){
printf("bind error, use another port\n");
return ;
}
listen(sd, );
int c = sizeof(struct sockaddr_in);
cd = accept(sd, (struct sockaddr *)&caddr, (socklen_t*)&c);
if(cd < ){
printf("accept error, tell admin\n");
return ;
}
if( recv(cd, buf, , ) != ) return ;
if(memcmp(buf, "\xde\xad\xbe\xef", )) return ;
printf("Stage 5 clear!\n"); // here's your flag
system("/bin/cat flag");
观察知题目提供的是服务器端的代码,所以我们要通过编程实现客户端的代码
sleep();
struct sockaddr_in server;
int sockfd = socket(AF_INET,SOCK_STREAM,); //创造一个套字节,客户端只有一个套字节
if(sockfd<) //检查是否创造成功
{
perror("Cannot create the socket:");
exit();
}
server.sin_family=AF_INET; //使用IPv4地址
server.sin_addr.s_addr=inet_addr("127.0.0.1"); //具体的IP地址
server.sin_port=htons(); //端口
if(connect(sockfd,(struct sockaddr*)&server,sizeof(server))<)
{
perror("Problem connecting");
exit();
}
printf("Connected\n");
char buf[]="\xde\xad\xbe\xef";
write(sockfd,buf,);
close(sockfd);
return ;
最后这题完整的代码如下:
#include <stdio.h>
#include <arpa/inet.h>
#include <sys/socket.h>
#include <netinet/in.h>
#include <stdlib.h>
#include <unistd.h>
int main()
{
//argv
char *argv[]={"./input",[ ... ]="A",'\0'};
argv['A']="\x00";
argv['B']="\x20\x0a\x0d";
argv['C']=""; //stdio
int fd1[],fd2[];
int ret1,ret2; //用来接受pipe函数的返回值
ret1=pipe(fd1);
if(ret1==-)
{
perror("pipe fd1 error:");
exit();
}
ret2=pipe(fd2);
if(ret2==-)
{
perror("pipe fd2 error:");
exit();
}
pid_t id=fork();
if(id==) //子进程
{
close(fd1[]);
close(fd2[]); //关闭子进程读端
write(fd1[],"\x00\x0a\x00\xff",);
write(fd2[],"\x00\x0a\x02\xff",);
}
else //父进程
{
close(fd1[]);
close(fd2[]);
dup2(fd1[],);
dup2(fd2[],);//文件描述符重定向
close(fd1[]);
close(fd2[]); //env
char *env[]={"\xde\xad\xbe\xef=\xca\xfe\xba\xbe",NULL}; //file
FILE *fp=fopen("\x0a","w");
if(fp==NULL)
printf("文件打开失败\n");
else
{
fwrite("\x00\x00\x00\x00",,,fp);
fclose(fp);
execve("input",argv,env);
}
}
//network
sleep();
struct sockaddr_in server;
int sockfd = socket(AF_INET,SOCK_STREAM,);
if(sockfd<)
{
perror("Cannot create the socket:");
exit();
}
server.sin_family=AF_INET;
server.sin_addr.s_addr=inet_addr("127.0.0.1");
server.sin_port=htons();
if(connect(sockfd,(struct sockaddr*)&server,sizeof(server))<)
{
perror("Problem connecting");
exit();
}
printf("Connected\n");
char buf[]="\xde\xad\xbe\xef";
write(sockfd,buf,);
close(sockfd);
return ;
}
注意:我们需要用scp命令把代码文件上传到服务器的tmp文件夹,由于tmp文件夹里没有flag文件,还需要用ln命令进行连接,最后编译运行就可以得到flag。
pwnable.kr之input的更多相关文章
- 【pwnable.kr】input
这道题是一道一遍一遍满足程序需求的题. 网上其他的题解都是用了C语言或者python语言的本地调用,我想联系一下pwntools的远程调用就写了下面的脚本, 执行效果可以通过1~4的检测,到最后soc ...
- pwnable.kr详细通关秘籍(二)
i春秋作家:W1ngs 原文来自:pwnable.kr详细通关秘籍(二) 0x00 input 首先看一下代码: 可以看到程序总共有五步,全部都满足了才可以得到flag,那我们就一步一步来看 这道题考 ...
- 【pwnable.kr】 [simple login]
Download : http://pwnable.kr/bin/login Running at : nc pwnable.kr 9003 先看看ida里面的逻辑. 比较重要的信息时input变量再 ...
- 【pwnable.kr】 mistake
又一道pwnable,我还没放弃.. ssh mistake@pwnable.kr -p2222 (pw:guest) 源代码如下: #include <stdio.h> #include ...
- 【pwnable.kr】fb
这是pwnable.kr的签到题,记录pwn入门到放弃的第一篇. ssh fd@pwnable.kr -p2222 (pw:guest) 题目很简单,登录上了ssh后,发现了3个文件:fd,fd.c, ...
- pwnable.kr之simple Login
pwnable.kr之simple Login 懒了几天,一边看malloc.c的源码,一边看华庭的PDF.今天佛系做题,到pwnable.kr上打开了simple Login这道题,但是这道题个人觉 ...
- pwnable.kr的passcode
前段时间找到一个练习pwn的网站,pwnable.kr 这里记录其中的passcode的做题过程,给自己加深印象. 废话不多说了,看一下题目, 看到题目,就ssh连接进去,就看到三个文件如下 看了一下 ...
- pwnable.kr bof之write up
这一题与前两题不同,用到了静态调试工具ida 首先题中给出了源码: #include <stdio.h> #include <string.h> #include <st ...
- pwnable.kr col之write up
Daddy told me about cool MD5 hash collision today. I wanna do something like that too! ssh col@pwnab ...
随机推荐
- git使用-分支管理
1.查看分支 git branch 2.创建分支 git branch name 3.切换分支 git checkout name 4.合并分支上的内容到master分支 切换到master分支上 g ...
- Cross-Stage-Partial-Connections
- Compilation failed (return status=1): g++.exe: error: CreateProcess: No such file or directory错误
windows10上 theano安装之后出现的问题 >>> import theano You can find the C code in this temporary file ...
- STM32 重启之后程序丢失
1 BOOT1 BOOT0都已经接10K接地,晶振波形正常 2 在主程序最开始运行的地方加入5秒的延时,程序不会丢失.原因可能为单片机其它外设没有准备好 int main(void) { delay_ ...
- Mac中的垃圾文件的清理
一 前言 最近发现mac的存储空间不够了,看一下系统的存储空间如下图所示,这个其他占了160+G的存储空间,那么这个其他到底包含什么东西呢?在网上查了很久,找到一种比较认可的说法是这样的: 不同Mac ...
- Nginx的Gzip功能
什么是HTTP压缩 有时候客户端和服务器之间会传输比较大的报文数据,这时候就占用较大的网络带宽和时长.为了节省带宽,加速报文的响应速速,可以将传输的报文数据先进行压缩,然后再进行传输. HTTP支持多 ...
- 理解RESTful原理
如何给老婆解释什么是RESTful 老婆经常喜欢翻看我订阅的技术杂志,她总能从她的视角提出很多有趣的问题. 一个悠闲的周日下午,她午觉醒来,又习惯性的抓起这个月的杂志,饶有兴趣地看了起来. 果不其然, ...
- JavaScript正则、错误处理、操作表单
一.正则表达式:用单个字符串描述或者匹配符合特定语句规则的字符串 一些字符序列组合在一起,可以简单也可以复杂模式的,可以去搜索,可以去替换 二.语法: /表达式/修饰符(可选) var para=/i ...
- IDEA中列编辑
快捷键 :Alt+Shift+insert,也可以按住Alt+Shift时,点击要编辑部分
- Goland远程连接Linux开发调试
参考链接: https://blog.csdn.net/huwh_/article/details/77879152?utm_source=blogxgwz3 https://baijiahao.ba ...