pwnable.kr之input
连接到远程服务器:ssh input2@pwnable.kr -p2222
查看题目所给的代码,根据题目的要求我们要给出所有符合条件的输入才能拿到flag,本来想在输入上动点歪脑筋,结果输入有字节数的限制,然后再查看一下程序是否有保护
Arch: amd64--little
RELRO: Partial RELRO
Stack: Canary found
NX: NX enabled
PIE: No PIE (0x400000)
发现有栈溢出和数据执行保护,就绝了走捷径的心思。
查看代码知道有五步要走,为了检测每步是否正确,使用命令:scp -P 2222 input2@pwnable.kr:/home/input2/input /home/countfatcode/Code 把input文件下载到本地。
scp命令详解请看:https://blog.csdn.net/sanbingyutuoniao123/article/details/72420637
第一部分:argv
// argv
if(argc != ) return ;
if(strcmp(argv['A'],"\x00")) return ;
if(strcmp(argv['B'],"\x20\x0a\x0d")) return ;
printf("Stage 1 clear!\n");
因为要传入的参数过多,可以用 execve() 函数来实现。
函数详解请看:https://www.cnblogs.com/jxhd1/p/6706701.html
于是可以构造c语言代码:
#include <stdio.h>
#include <stdlib.h>
int main()
{
char *argv[]={"input",[ ... ]="A",NULL};
argv['A']="\x00";
argv['B']="\x20\x0a\x0d";
execve("input",argv,NULL);
return ;
}
编译运行,得到结果:
Welcome to pwnable.kr
Let's see if you know how to give input to program
Just give me correct inputs then you will get the flag :)
Stage clear!
第二部分:stdio
查看代码:
// stdio
char buf[];
read(, buf, );
if(memcmp(buf, "\x00\x0a\x00\xff", ))
return ;
read(, buf, );
if(memcmp(buf, "\x00\x0a\x02\xff", ))
return ;
printf("Stage 2 clear!\n");
第一个 read() 函数的文件描述符是0,表示从终端读入字符,第二个 read() 函数的文件描述符是 2,表示从标准错误输出读入字符,此时就要用到 pipe管道来解决。
pipe详解:https://blog.csdn.net/skyroben/article/details/71513385
因为有两个read,所以要创建两个管道,代码如下:
int fd1[],fd2[];
int ret1,ret2; //用来接受pipe函数的返回值
ret1=pipe(fd1);
if(ret1==-)
{
perror("pipe fd1 error:");
exit();
}
ret2=pipe(fd2);
if(ret2==-)
{
perror("pipe fd2 error:");
exit();
}
再用 fork() 创建子进程,代码如下:
pid_t id=fork()
第二部分完整代码如下:
//stdio
int fd1[],fd2[];
int ret1,ret2; //用来接受pipe函数的返回值
ret1=pipe(fd1);
if(ret1==-)
{
perror("pipe fd1 error:");
exit();
}
ret2=pipe(fd2);
if(ret2==-)
{
perror("pipe fd2 error:");
exit();
}
pid_t id=fork();
if(id==) //子进程
{
close(fd1[]);
close(fd2[]); //关闭子进程读端
write(fd1[],"\x00\x0a\x00\xff",);
write(fd2[],"\x00\x0a\x02\xff",);
}
else //父进程
{
close(fd1[]);
close(fd2[]);
dup2(fd1[],);
dup2(fd2[],);//文件描述符重定向
close(fd1[]);
close(fd2[]); //env
char *env[]={"\xde\xad\xbe\xef=\xca\xfe\xba\xbe",NULL}; //file
FILE *fp=fopen("\x0a","w");
if(fp==NULL)
printf("文件打开失败\n");
else
{
fwrite("\x00\x00\x00\x00",,,fp);
fclose(fp);
execve("input",argv,env);
}
}
将一二部分的代码结合起来运行一下,发现正确。
第三部分:env
查看代码:
// env
if(strcmp("\xca\xfe\xba\xbe", getenv("\xde\xad\xbe\xef"))) return ;
printf("Stage 3 clear!\n");
getenv() 函数的作用是获取环境变量名为 \xde\xad\xbe\xef 的变量值,这时就要用 execve() 的第三个参数来构造该环境变量,具体代码如下:
//env
char *env[]={"\xde\xad\xbe\xef=\xca\xfe\xba\xbe",NULL};
结合一二部分的代码运行,发现正确。
第四部分:file
查看代码:
// file
FILE* fp = fopen("\x0a", "r");
if(!fp) return ;
if( fread(buf, , , fp)!= ) return ;
if( memcmp(buf, "\x00\x00\x00\x00", ) ) return ;
fclose(fp);
printf("Stage 4 clear!\n");
这部分是关于文件操作,具体代码如下:
//file
FILE *fp=fopen("\x0a","w");
if(fp==NULL)
printf("文件打开失败\n");
else
{
fwrite("\x00\x00\x00\x00",,,fp);
fclose(fp);
execve("input",argv,env);
}
再结合第一二三部分的代码运行,正确。
第五部分:network
第五题主要涉及的是socket编程,题目给的代码是:
// network
int sd, cd;
struct sockaddr_in saddr, caddr;
sd = socket(AF_INET, SOCK_STREAM, );
if(sd == -){
printf("socket error, tell admin\n");
return ;
}
saddr.sin_family = AF_INET;
saddr.sin_addr.s_addr = INADDR_ANY;
saddr.sin_port = htons( atoi(argv['C']) );
if(bind(sd, (struct sockaddr*)&saddr, sizeof(saddr)) < ){
printf("bind error, use another port\n");
return ;
}
listen(sd, );
int c = sizeof(struct sockaddr_in);
cd = accept(sd, (struct sockaddr *)&caddr, (socklen_t*)&c);
if(cd < ){
printf("accept error, tell admin\n");
return ;
}
if( recv(cd, buf, , ) != ) return ;
if(memcmp(buf, "\xde\xad\xbe\xef", )) return ;
printf("Stage 5 clear!\n"); // here's your flag
system("/bin/cat flag");
观察知题目提供的是服务器端的代码,所以我们要通过编程实现客户端的代码
sleep();
struct sockaddr_in server;
int sockfd = socket(AF_INET,SOCK_STREAM,); //创造一个套字节,客户端只有一个套字节
if(sockfd<) //检查是否创造成功
{
perror("Cannot create the socket:");
exit();
}
server.sin_family=AF_INET; //使用IPv4地址
server.sin_addr.s_addr=inet_addr("127.0.0.1"); //具体的IP地址
server.sin_port=htons(); //端口
if(connect(sockfd,(struct sockaddr*)&server,sizeof(server))<)
{
perror("Problem connecting");
exit();
}
printf("Connected\n");
char buf[]="\xde\xad\xbe\xef";
write(sockfd,buf,);
close(sockfd);
return ;
最后这题完整的代码如下:
#include <stdio.h>
#include <arpa/inet.h>
#include <sys/socket.h>
#include <netinet/in.h>
#include <stdlib.h>
#include <unistd.h>
int main()
{
//argv
char *argv[]={"./input",[ ... ]="A",'\0'};
argv['A']="\x00";
argv['B']="\x20\x0a\x0d";
argv['C']=""; //stdio
int fd1[],fd2[];
int ret1,ret2; //用来接受pipe函数的返回值
ret1=pipe(fd1);
if(ret1==-)
{
perror("pipe fd1 error:");
exit();
}
ret2=pipe(fd2);
if(ret2==-)
{
perror("pipe fd2 error:");
exit();
}
pid_t id=fork();
if(id==) //子进程
{
close(fd1[]);
close(fd2[]); //关闭子进程读端
write(fd1[],"\x00\x0a\x00\xff",);
write(fd2[],"\x00\x0a\x02\xff",);
}
else //父进程
{
close(fd1[]);
close(fd2[]);
dup2(fd1[],);
dup2(fd2[],);//文件描述符重定向
close(fd1[]);
close(fd2[]); //env
char *env[]={"\xde\xad\xbe\xef=\xca\xfe\xba\xbe",NULL}; //file
FILE *fp=fopen("\x0a","w");
if(fp==NULL)
printf("文件打开失败\n");
else
{
fwrite("\x00\x00\x00\x00",,,fp);
fclose(fp);
execve("input",argv,env);
}
}
//network
sleep();
struct sockaddr_in server;
int sockfd = socket(AF_INET,SOCK_STREAM,);
if(sockfd<)
{
perror("Cannot create the socket:");
exit();
}
server.sin_family=AF_INET;
server.sin_addr.s_addr=inet_addr("127.0.0.1");
server.sin_port=htons();
if(connect(sockfd,(struct sockaddr*)&server,sizeof(server))<)
{
perror("Problem connecting");
exit();
}
printf("Connected\n");
char buf[]="\xde\xad\xbe\xef";
write(sockfd,buf,);
close(sockfd);
return ;
}
注意:我们需要用scp命令把代码文件上传到服务器的tmp文件夹,由于tmp文件夹里没有flag文件,还需要用ln命令进行连接,最后编译运行就可以得到flag。
pwnable.kr之input的更多相关文章
- 【pwnable.kr】input
这道题是一道一遍一遍满足程序需求的题. 网上其他的题解都是用了C语言或者python语言的本地调用,我想联系一下pwntools的远程调用就写了下面的脚本, 执行效果可以通过1~4的检测,到最后soc ...
- pwnable.kr详细通关秘籍(二)
i春秋作家:W1ngs 原文来自:pwnable.kr详细通关秘籍(二) 0x00 input 首先看一下代码: 可以看到程序总共有五步,全部都满足了才可以得到flag,那我们就一步一步来看 这道题考 ...
- 【pwnable.kr】 [simple login]
Download : http://pwnable.kr/bin/login Running at : nc pwnable.kr 9003 先看看ida里面的逻辑. 比较重要的信息时input变量再 ...
- 【pwnable.kr】 mistake
又一道pwnable,我还没放弃.. ssh mistake@pwnable.kr -p2222 (pw:guest) 源代码如下: #include <stdio.h> #include ...
- 【pwnable.kr】fb
这是pwnable.kr的签到题,记录pwn入门到放弃的第一篇. ssh fd@pwnable.kr -p2222 (pw:guest) 题目很简单,登录上了ssh后,发现了3个文件:fd,fd.c, ...
- pwnable.kr之simple Login
pwnable.kr之simple Login 懒了几天,一边看malloc.c的源码,一边看华庭的PDF.今天佛系做题,到pwnable.kr上打开了simple Login这道题,但是这道题个人觉 ...
- pwnable.kr的passcode
前段时间找到一个练习pwn的网站,pwnable.kr 这里记录其中的passcode的做题过程,给自己加深印象. 废话不多说了,看一下题目, 看到题目,就ssh连接进去,就看到三个文件如下 看了一下 ...
- pwnable.kr bof之write up
这一题与前两题不同,用到了静态调试工具ida 首先题中给出了源码: #include <stdio.h> #include <string.h> #include <st ...
- pwnable.kr col之write up
Daddy told me about cool MD5 hash collision today. I wanna do something like that too! ssh col@pwnab ...
随机推荐
- 每日一道 LeetCode (10):搜索插入位置
每天 3 分钟,走上算法的逆袭之路. 前文合集 每日一道 LeetCode 前文合集 代码仓库 GitHub: https://github.com/meteor1993/LeetCode Gitee ...
- C#LeetCode刷题-哈希表
哈希表篇 # 题名 刷题 通过率 难度 1 两数之和 C#LeetCode刷题之#1-两数之和(Two Sum) 42.8% 简单 3 无重复字符的最长子串 24.2% 中等 18 四数之和 ...
- Linux学习笔记 一 第一章 Linux 系统简介
Linux简介 一.UNIX与Linux发展史
- SQLserver 查询某个表的字段及字段属性
SELECT C.name as [字段名],T.name as [字段类型] ,convert(bit,C.IsNullable) as [可否为空] ,convert(bit,case when ...
- Ubuntu18.04 安装 Fabric & 使用 Fabric 测试网络
前言: 本文介绍在 Ubuntu 18.04 中安装 Fabric, 并对 官方文档中的一个小案例(Using the Fabric test network)进行测试. 目的: 初步了解 Fabri ...
- 使用Postman工具做接口测试(五)——生成随机参数
引言 我们平时使用最多的接口调试工具就是postman了,比如开发将一个接口给到你,你想看看接口是否正常.最常用的方法就是用postman去调一下.如果通,就写接口测试用例,反之,将开发打一顿吧o(* ...
- C#实践设计模式原则SOLID
理论跟实践的关系,说远不远,说近不近.能不能把理论用到实践上,还真不好说. 通常讲到设计模式,一个最通用的原则是SOLID: S - Single Responsibility Principle ...
- docker入门1-docker container
image和container介绍 一个image是一个可被docker执行的包,它包括程序运行的所有东西,包括代码,运行时,库,环境变量和配置文件. 一个container是image在内存中的运行 ...
- centos yum 安装golang
rpm -Uvh http://dl.fedoraproject.org/pub/epel/6/x86_64/epel-release-6-8.noarch.rpm yum install golan ...
- nova卸载volume源码分析
基于llvm +iscsi协议进行分析 1.客戶端接受请求并路由到 VolumeAttachmentController 其对应的restfull请求格式如下:delete /servers/{ser ...