黑客練手入門| pwnable.kr—幼兒瓶—01：fd

目錄

• 前言
  • pwnable.kr介紹
  • 該怎麼玩
• 幼兒瓶第一道題：fd
  • 0x00 問題描述
  • 0x01 原始碼分析
  • 0x02 解題方法
  • 0x03 知識點總結

前言

擔心有人不知道pwnable.kr是什麼，所以覺得有必要簡單介紹一下它。

pwnable.kr介紹

pwnable.kr是一個非商業性的Wargame網站 ，它提供有關係統開發的各種pwn挑戰。pwnable.kr的主要目的是'有趣'。並把每個挑戰視為遊戲。地址：http://pwnable.kr/

該怎麼玩

每個挑戰都有對應的標記檔案（類似於CTF），您需要閱讀該檔案並提交給pwnable.kr以獲得相應的分數。為了讀取標誌檔案，您需要一些有關程式設計，逆向工程，漏洞利用，系統知識，密碼學的技能。每個挑戰都有作者的預期解決方案，但是，還有許多意外的解決方案。

挑戰分為四類：

• 幼兒瓶：非常簡單的挑戰，都是一些簡單的錯誤。
• Rookiss：新手需要掌握的典型漏洞利用。
• 怪誕：這些挑戰是怪誕的，解決起來很痛苦，但獲得Flag後，成就感滿滿。
• 黑客的祕密：針對這些挑戰的預期解決方案涉及特殊的黑客技術。

幼兒瓶第一道題：fd

0x00 問題描述

Mommy! what is a file descriptor in Linux?

• try to play the wargame your self but if you are ABSOLUTE beginner, follow this tutorial link:

https://youtu.be/971eZhMHQQw

ssh fd@pwnable.kr -p2222 (pw:guest)

這道題名為fd(file descriptor，翻譯過來就是檔案描述符)，顧名思義，其實考察的就是 Linux 的檔案描述符的知識。

0x01 原始碼分析

連線到伺服器上後，當前目錄存放了幾個檔案：fd.c fd flag
通過ls -l，我們可以檢視檔案許可權，發現當前使用者沒有許可權檢視flag檔案，然後我們就分析fd.c檔案，是一段程式碼，內容如下：

//fd.c
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
char buf[32];
int main(int argc, char* argv[], char* envp[]){
    if(argc<2){
        printf("pass argv[1] a number\n");
        return 0;
    }
    int fd = atoi( argv[1] ) - 0x1234;
    int len = 0;
    len = read(fd, buf, 32);
    if(!strcmp("LETMEWIN\n", buf)){
        printf("good job :)\n");
        system("/bin/cat flag");
        exit(0);
    }
    printf("learn about Linux file IO\n");
    return 0;
}

從原始碼中，我們可以看到關鍵一句在於通過第 2 個 if 語句的檢查，如果 buf 變數的值為 LETMEWIN 字串，那麼就可以順利開啟 flag 檔案。buf 是從哪裡來呢？向上溯源，可以看到，buf 的值來源於 read 函式讀進來的內容。

C 語言中 read 函式的原型是：ssize_t read(int fd, void*buf, size_t count)。其中 fd 代表檔案描述符，buf 為讀出資料的緩衝區，count 是讀取的位元組數。也就是說，這句程式碼表示程式從檔案描述符中讀入資料並放到 buf 中。

fd 的值應該是什麼呢？通過搜尋，查到如下描述：Linux 系統將所有裝置都當作檔案來處理，而 Linux 用檔案描述符來標識每個檔案物件。比如說，我們用鍵盤輸入資料，用顯示器閱讀顯示的資料，那麼鍵盤輸入就是一個檔案物件，顯示器輸出也是一個檔案物件。對於每個不同的檔案物件，Linux 會用不同數字標識並加以區分。

Linux 標準檔案描述符是這樣規定的：

數字 0 表示 STDIN，即標準輸入，也就是我們通過執行程式之後，在命令列輸入的資料。

數字 1 表示 STDOUT，即標準輸出，也就是程式執行過程中，在終端顯示的資料。

數字 2 表示 STDERR，即標準錯誤輸入，也就是程式執行時如果發生錯誤，導致不能正常退出時，終端上會顯示的資訊。

在瞭解了這些知識以後，這道題就可以很順利的解出了：我們只需要讓 fd 的值等於 0，再通過終端命令列輸入 LETMEWIN，就可以讓 buf 的值等於我們輸入的字串，從而順利通過 if 語句的檢查。

對著程式碼，向上溯源，可以看到另外一個關鍵語句：

int fd = atoi( argv[1] ) - 0x1234;

這一句定義了 fd 的值，其中 argv 是 main 函式的一個引數，再加上 argc 和 envp，表示程式執行時在命令列輸入的命令引數。argc 是一個整型，表示引數的個數（程式檔名也算在內，所以 argc 至少值應該大於等於 1），argv 是一個指標陣列，其元素個數是 argc，存放的是指向每一個引數的指標，所以 argv[1] 就表示程式執行的第二個命令引數（第一個命令引數是 argv[0]，也就是程式名）。envp 是一個指標陣列，指向系統的環境變數字串，這裡沒有用到。

所以，我們只需要讓程式執行的第一個命令引數等於 0x1234 即可，轉換成 10 進位制的值是 4660。

0x02 解題方法

至此，解題思路就很明確了，終端輸入如下：

$ ./fd 4660
LETMEWIN
good job :)
mommy! I think I know what a file descriptor is!!

0x03 知識點總結

本題考察了三個知識點：

1. Linux 下的檔案描述符 fd 的定義和用法；
2. C 語言中 read 函式的原型和使用方法；
3. main 函式三個引數 argc, argv 和 envp 的含義。

本文首發於BigYoung小站