前言
擔心有人不知道pwnable.kr是什麼,所以覺得有必要簡單介紹一下它。
pwnable.kr介紹
pwnable.kr是一個非商業性的Wargame網站
,它提供有關係統開發的各種pwn挑戰。pwnable.kr的主要目的是'有趣'。並把每個挑戰視為遊戲。地址:http://pwnable.kr/
該怎麼玩
每個挑戰都有對應的標記檔案(類似於CTF),您需要閱讀該檔案並提交給pwnable.kr以獲得相應的分數。為了讀取標誌檔案,您需要一些有關程式設計,逆向工程,漏洞利用,系統知識,密碼學的技能。每個挑戰都有作者的預期解決方案,但是,還有許多意外的解決方案。
挑戰分為四類:
- 幼兒瓶:非常簡單的挑戰,都是一些簡單的錯誤。
- Rookiss:新手需要掌握的典型漏洞利用。
- 怪誕:這些挑戰是怪誕的,解決起來很痛苦,但獲得Flag後,成就感滿滿。
- 黑客的祕密:針對這些挑戰的預期解決方案涉及特殊的黑客技術。
幼兒瓶第一道題:fd
0x00 問題描述
Mommy! what is a file descriptor in Linux?
- try to play the wargame your self but if you are ABSOLUTE beginner, follow this tutorial link:
ssh fd@pwnable.kr -p2222 (pw:guest)
這道題名為fd(file descriptor,翻譯過來就是檔案描述符),顧名思義,其實考察的就是 Linux 的檔案描述符的知識。
0x01 原始碼分析
連線到伺服器上後,當前目錄存放了幾個檔案:fd.c fd flag
通過ls -l
,我們可以檢視檔案許可權,發現當前使用者沒有許可權檢視flag
檔案,然後我們就分析fd.c
檔案,是一段程式碼,內容如下:
//fd.c
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
char buf[32];
int main(int argc, char* argv[], char* envp[]){
if(argc<2){
printf("pass argv[1] a number\n");
return 0;
}
int fd = atoi( argv[1] ) - 0x1234;
int len = 0;
len = read(fd, buf, 32);
if(!strcmp("LETMEWIN\n", buf)){
printf("good job :)\n");
system("/bin/cat flag");
exit(0);
}
printf("learn about Linux file IO\n");
return 0;
}
從原始碼中,我們可以看到關鍵一句在於通過第 2 個 if 語句的檢查,如果 buf 變數的值為 LETMEWIN
字串,那麼就可以順利開啟 flag 檔案。buf 是從哪裡來呢?向上溯源,可以看到,buf 的值來源於 read 函式讀進來的內容。
C 語言中 read 函式的原型是:ssize_t read(int fd, void*buf, size_t count)。其中 fd 代表檔案描述符,buf 為讀出資料的緩衝區,count 是讀取的位元組數。也就是說,這句程式碼表示程式從檔案描述符中讀入資料並放到 buf 中。
fd 的值應該是什麼呢?通過搜尋,查到如下描述:Linux 系統將所有裝置都當作檔案來處理,而 Linux 用檔案描述符來標識每個檔案物件。比如說,我們用鍵盤輸入資料,用顯示器閱讀顯示的資料,那麼鍵盤輸入就是一個檔案物件,顯示器輸出也是一個檔案物件。對於每個不同的檔案物件,Linux 會用不同數字標識並加以區分。
Linux 標準檔案描述符是這樣規定的:
數字 0 表示 STDIN,即標準輸入,也就是我們通過執行程式之後,在命令列輸入的資料。
數字 1 表示 STDOUT,即標準輸出,也就是程式執行過程中,在終端顯示的資料。
數字 2 表示 STDERR,即標準錯誤輸入,也就是程式執行時如果發生錯誤,導致不能正常退出時,終端上會顯示的資訊。
在瞭解了這些知識以後,這道題就可以很順利的解出了:我們只需要讓 fd 的值等於 0,再通過終端命令列輸入 LETMEWIN,就可以讓 buf 的值等於我們輸入的字串,從而順利通過 if 語句的檢查。
對著程式碼,向上溯源,可以看到另外一個關鍵語句:
int fd = atoi( argv[1] ) - 0x1234;
這一句定義了 fd 的值,其中 argv 是 main 函式的一個引數,再加上 argc 和 envp,表示程式執行時在命令列輸入的命令引數。argc 是一個整型,表示引數的個數(程式檔名也算在內,所以 argc 至少值應該大於等於 1),argv 是一個指標陣列,其元素個數是 argc,存放的是指向每一個引數的指標,所以 argv[1] 就表示程式執行的第二個命令引數(第一個命令引數是 argv[0],也就是程式名)。envp 是一個指標陣列,指向系統的環境變數字串,這裡沒有用到。
所以,我們只需要讓程式執行的第一個命令引數等於 0x1234 即可,轉換成 10 進位制的值是 4660。
0x02 解題方法
至此,解題思路就很明確了,終端輸入如下:
$ ./fd 4660
LETMEWIN
good job :)
mommy! I think I know what a file descriptor is!!
0x03 知識點總結
本題考察了三個知識點:
- Linux 下的檔案描述符 fd 的定義和用法;
- C 語言中 read 函式的原型和使用方法;
- main 函式三個引數 argc, argv 和 envp 的含義。
本文首發於BigYoung小站