黑客練手入門| pwnable.kr—幼兒瓶—01:fd

Bigyoungs發表於2021-02-03

前言

擔心有人不知道pwnable.kr是什麼,所以覺得有必要簡單介紹一下它。

pwnable.kr介紹

pwnable.kr是一個非商業性的Wargame網站 ,它提供有關係統開發的各種pwn挑戰。pwnable.kr的主要目的是'有趣'。並把每個挑戰視為遊戲。地址:http://pwnable.kr/

該怎麼玩

每個挑戰都有對應的標記檔案(類似於CTF),您需要閱讀該檔案並提交給pwnable.kr以獲得相應的分數。為了讀取標誌檔案,您需要一些有關程式設計,逆向工程,漏洞利用,系統知識,密碼學的技能。每個挑戰都有作者的預期解決方案,但是,還有許多意外的解決方案。

挑戰分為四類:

  • 幼兒瓶:非常簡單的挑戰,都是一些簡單的錯誤。
  • Rookiss:新手需要掌握的典型漏洞利用。
  • 怪誕:這些挑戰是怪誕的,解決起來很痛苦,但獲得Flag後,成就感滿滿。
  • 黑客的祕密:針對這些挑戰的預期解決方案涉及特殊的黑客技術。

幼兒瓶第一道題:fd

0x00 問題描述

Mommy! what is a file descriptor in Linux?

  • try to play the wargame your self but if you are ABSOLUTE beginner, follow this tutorial link:

https://youtu.be/971eZhMHQQw

ssh fd@pwnable.kr -p2222 (pw:guest)

這道題名為fd(file descriptor,翻譯過來就是檔案描述符),顧名思義,其實考察的就是 Linux 的檔案描述符的知識。

0x01 原始碼分析

連線到伺服器上後,當前目錄存放了幾個檔案:fd.c fd flag
通過ls -l,我們可以檢視檔案許可權,發現當前使用者沒有許可權檢視flag檔案,然後我們就分析fd.c檔案,是一段程式碼,內容如下:

//fd.c
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
char buf[32];
int main(int argc, char* argv[], char* envp[]){
    if(argc<2){
        printf("pass argv[1] a number\n");
        return 0;
    }
    int fd = atoi( argv[1] ) - 0x1234;
    int len = 0;
    len = read(fd, buf, 32);
    if(!strcmp("LETMEWIN\n", buf)){
        printf("good job :)\n");
        system("/bin/cat flag");
        exit(0);
    }
    printf("learn about Linux file IO\n");
    return 0;
}

從原始碼中,我們可以看到關鍵一句在於通過第 2 個 if 語句的檢查,如果 buf 變數的值為 LETMEWIN 字串,那麼就可以順利開啟 flag 檔案。buf 是從哪裡來呢?向上溯源,可以看到,buf 的值來源於 read 函式讀進來的內容。

C 語言中 read 函式的原型是:ssize_t read(int fd, void*buf, size_t count)。其中 fd 代表檔案描述符,buf 為讀出資料的緩衝區,count 是讀取的位元組數。也就是說,這句程式碼表示程式從檔案描述符中讀入資料並放到 buf 中。

fd 的值應該是什麼呢?通過搜尋,查到如下描述:Linux 系統將所有裝置都當作檔案來處理,而 Linux 用檔案描述符來標識每個檔案物件。比如說,我們用鍵盤輸入資料,用顯示器閱讀顯示的資料,那麼鍵盤輸入就是一個檔案物件,顯示器輸出也是一個檔案物件。對於每個不同的檔案物件,Linux 會用不同數字標識並加以區分。

Linux 標準檔案描述符是這樣規定的:

數字 0 表示 STDIN,即標準輸入,也就是我們通過執行程式之後,在命令列輸入的資料。

數字 1 表示 STDOUT,即標準輸出,也就是程式執行過程中,在終端顯示的資料。

數字 2 表示 STDERR,即標準錯誤輸入,也就是程式執行時如果發生錯誤,導致不能正常退出時,終端上會顯示的資訊。

在瞭解了這些知識以後,這道題就可以很順利的解出了:我們只需要讓 fd 的值等於 0,再通過終端命令列輸入 LETMEWIN,就可以讓 buf 的值等於我們輸入的字串,從而順利通過 if 語句的檢查。

對著程式碼,向上溯源,可以看到另外一個關鍵語句:

int fd = atoi( argv[1] ) - 0x1234;

這一句定義了 fd 的值,其中 argv 是 main 函式的一個引數,再加上 argc 和 envp,表示程式執行時在命令列輸入的命令引數。argc 是一個整型,表示引數的個數(程式檔名也算在內,所以 argc 至少值應該大於等於 1),argv 是一個指標陣列,其元素個數是 argc,存放的是指向每一個引數的指標,所以 argv[1] 就表示程式執行的第二個命令引數(第一個命令引數是 argv[0],也就是程式名)。envp 是一個指標陣列,指向系統的環境變數字串,這裡沒有用到。

所以,我們只需要讓程式執行的第一個命令引數等於 0x1234 即可,轉換成 10 進位制的值是 4660。

0x02 解題方法

至此,解題思路就很明確了,終端輸入如下:

$ ./fd 4660
LETMEWIN
good job :)
mommy! I think I know what a file descriptor is!!

0x03 知識點總結

本題考察了三個知識點:

  1. Linux 下的檔案描述符 fd 的定義和用法;
  2. C 語言中 read 函式的原型和使用方法;
  3. main 函式三個引數 argc, argv 和 envp 的含義。

本文首發於BigYoung小站

相關文章