pwnable.kr之input
连接到远程服务器:ssh input2@pwnable.kr -p2222
查看题目所给的代码,根据题目的要求我们要给出所有符合条件的输入才能拿到flag,本来想在输入上动点歪脑筋,结果输入有字节数的限制,然后再查看一下程序是否有保护
Arch: amd64--little
RELRO: Partial RELRO
Stack: Canary found
NX: NX enabled
PIE: No PIE (0x400000)
发现有栈溢出和数据执行保护,就绝了走捷径的心思。
查看代码知道有五步要走,为了检测每步是否正确,使用命令:scp -P 2222 input2@pwnable.kr:/home/input2/input /home/countfatcode/Code 把input文件下载到本地。
scp命令详解请看:https://blog.csdn.net/sanbingyutuoniao123/article/details/72420637
第一部分:argv
// argv
if(argc != ) return ;
if(strcmp(argv['A'],"\x00")) return ;
if(strcmp(argv['B'],"\x20\x0a\x0d")) return ;
printf("Stage 1 clear!\n");
因为要传入的参数过多,可以用 execve() 函数来实现。
函数详解请看:https://www.cnblogs.com/jxhd1/p/6706701.html
于是可以构造c语言代码:
#include <stdio.h>
#include <stdlib.h>
int main()
{
char *argv[]={"input",[ ... ]="A",NULL};
argv['A']="\x00";
argv['B']="\x20\x0a\x0d";
execve("input",argv,NULL);
return ;
}
编译运行,得到结果:
Welcome to pwnable.kr
Let's see if you know how to give input to program
Just give me correct inputs then you will get the flag :)
Stage clear!
第二部分:stdio
查看代码:
// stdio
char buf[];
read(, buf, );
if(memcmp(buf, "\x00\x0a\x00\xff", ))
return ;
read(, buf, );
if(memcmp(buf, "\x00\x0a\x02\xff", ))
return ;
printf("Stage 2 clear!\n");
第一个 read() 函数的文件描述符是0,表示从终端读入字符,第二个 read() 函数的文件描述符是 2,表示从标准错误输出读入字符,此时就要用到 pipe管道来解决。
pipe详解:https://blog.csdn.net/skyroben/article/details/71513385
因为有两个read,所以要创建两个管道,代码如下:
int fd1[],fd2[];
int ret1,ret2; //用来接受pipe函数的返回值
ret1=pipe(fd1);
if(ret1==-)
{
perror("pipe fd1 error:");
exit();
}
ret2=pipe(fd2);
if(ret2==-)
{
perror("pipe fd2 error:");
exit();
}
再用 fork() 创建子进程,代码如下:
pid_t id=fork()
第二部分完整代码如下:
//stdio
int fd1[],fd2[];
int ret1,ret2; //用来接受pipe函数的返回值
ret1=pipe(fd1);
if(ret1==-)
{
perror("pipe fd1 error:");
exit();
}
ret2=pipe(fd2);
if(ret2==-)
{
perror("pipe fd2 error:");
exit();
}
pid_t id=fork();
if(id==) //子进程
{
close(fd1[]);
close(fd2[]); //关闭子进程读端
write(fd1[],"\x00\x0a\x00\xff",);
write(fd2[],"\x00\x0a\x02\xff",);
}
else //父进程
{
close(fd1[]);
close(fd2[]);
dup2(fd1[],);
dup2(fd2[],);//文件描述符重定向
close(fd1[]);
close(fd2[]); //env
char *env[]={"\xde\xad\xbe\xef=\xca\xfe\xba\xbe",NULL}; //file
FILE *fp=fopen("\x0a","w");
if(fp==NULL)
printf("文件打开失败\n");
else
{
fwrite("\x00\x00\x00\x00",,,fp);
fclose(fp);
execve("input",argv,env);
}
}
将一二部分的代码结合起来运行一下,发现正确。
第三部分:env
查看代码:
// env
if(strcmp("\xca\xfe\xba\xbe", getenv("\xde\xad\xbe\xef"))) return ;
printf("Stage 3 clear!\n");
getenv() 函数的作用是获取环境变量名为 \xde\xad\xbe\xef 的变量值,这时就要用 execve() 的第三个参数来构造该环境变量,具体代码如下:
//env
char *env[]={"\xde\xad\xbe\xef=\xca\xfe\xba\xbe",NULL};
结合一二部分的代码运行,发现正确。
第四部分:file
查看代码:
// file
FILE* fp = fopen("\x0a", "r");
if(!fp) return ;
if( fread(buf, , , fp)!= ) return ;
if( memcmp(buf, "\x00\x00\x00\x00", ) ) return ;
fclose(fp);
printf("Stage 4 clear!\n");
这部分是关于文件操作,具体代码如下:
//file
FILE *fp=fopen("\x0a","w");
if(fp==NULL)
printf("文件打开失败\n");
else
{
fwrite("\x00\x00\x00\x00",,,fp);
fclose(fp);
execve("input",argv,env);
}
再结合第一二三部分的代码运行,正确。
第五部分:network
第五题主要涉及的是socket编程,题目给的代码是:
// network
int sd, cd;
struct sockaddr_in saddr, caddr;
sd = socket(AF_INET, SOCK_STREAM, );
if(sd == -){
printf("socket error, tell admin\n");
return ;
}
saddr.sin_family = AF_INET;
saddr.sin_addr.s_addr = INADDR_ANY;
saddr.sin_port = htons( atoi(argv['C']) );
if(bind(sd, (struct sockaddr*)&saddr, sizeof(saddr)) < ){
printf("bind error, use another port\n");
return ;
}
listen(sd, );
int c = sizeof(struct sockaddr_in);
cd = accept(sd, (struct sockaddr *)&caddr, (socklen_t*)&c);
if(cd < ){
printf("accept error, tell admin\n");
return ;
}
if( recv(cd, buf, , ) != ) return ;
if(memcmp(buf, "\xde\xad\xbe\xef", )) return ;
printf("Stage 5 clear!\n"); // here's your flag
system("/bin/cat flag");
观察知题目提供的是服务器端的代码,所以我们要通过编程实现客户端的代码
sleep();
struct sockaddr_in server;
int sockfd = socket(AF_INET,SOCK_STREAM,); //创造一个套字节,客户端只有一个套字节
if(sockfd<) //检查是否创造成功
{
perror("Cannot create the socket:");
exit();
}
server.sin_family=AF_INET; //使用IPv4地址
server.sin_addr.s_addr=inet_addr("127.0.0.1"); //具体的IP地址
server.sin_port=htons(); //端口
if(connect(sockfd,(struct sockaddr*)&server,sizeof(server))<)
{
perror("Problem connecting");
exit();
}
printf("Connected\n");
char buf[]="\xde\xad\xbe\xef";
write(sockfd,buf,);
close(sockfd);
return ;
最后这题完整的代码如下:
#include <stdio.h>
#include <arpa/inet.h>
#include <sys/socket.h>
#include <netinet/in.h>
#include <stdlib.h>
#include <unistd.h>
int main()
{
//argv
char *argv[]={"./input",[ ... ]="A",'\0'};
argv['A']="\x00";
argv['B']="\x20\x0a\x0d";
argv['C']=""; //stdio
int fd1[],fd2[];
int ret1,ret2; //用来接受pipe函数的返回值
ret1=pipe(fd1);
if(ret1==-)
{
perror("pipe fd1 error:");
exit();
}
ret2=pipe(fd2);
if(ret2==-)
{
perror("pipe fd2 error:");
exit();
}
pid_t id=fork();
if(id==) //子进程
{
close(fd1[]);
close(fd2[]); //关闭子进程读端
write(fd1[],"\x00\x0a\x00\xff",);
write(fd2[],"\x00\x0a\x02\xff",);
}
else //父进程
{
close(fd1[]);
close(fd2[]);
dup2(fd1[],);
dup2(fd2[],);//文件描述符重定向
close(fd1[]);
close(fd2[]); //env
char *env[]={"\xde\xad\xbe\xef=\xca\xfe\xba\xbe",NULL}; //file
FILE *fp=fopen("\x0a","w");
if(fp==NULL)
printf("文件打开失败\n");
else
{
fwrite("\x00\x00\x00\x00",,,fp);
fclose(fp);
execve("input",argv,env);
}
}
//network
sleep();
struct sockaddr_in server;
int sockfd = socket(AF_INET,SOCK_STREAM,);
if(sockfd<)
{
perror("Cannot create the socket:");
exit();
}
server.sin_family=AF_INET;
server.sin_addr.s_addr=inet_addr("127.0.0.1");
server.sin_port=htons();
if(connect(sockfd,(struct sockaddr*)&server,sizeof(server))<)
{
perror("Problem connecting");
exit();
}
printf("Connected\n");
char buf[]="\xde\xad\xbe\xef";
write(sockfd,buf,);
close(sockfd);
return ;
}
注意:我们需要用scp命令把代码文件上传到服务器的tmp文件夹,由于tmp文件夹里没有flag文件,还需要用ln命令进行连接,最后编译运行就可以得到flag。
pwnable.kr之input的更多相关文章
- 【pwnable.kr】input
这道题是一道一遍一遍满足程序需求的题. 网上其他的题解都是用了C语言或者python语言的本地调用,我想联系一下pwntools的远程调用就写了下面的脚本, 执行效果可以通过1~4的检测,到最后soc ...
- pwnable.kr详细通关秘籍(二)
i春秋作家:W1ngs 原文来自:pwnable.kr详细通关秘籍(二) 0x00 input 首先看一下代码: 可以看到程序总共有五步,全部都满足了才可以得到flag,那我们就一步一步来看 这道题考 ...
- 【pwnable.kr】 [simple login]
Download : http://pwnable.kr/bin/login Running at : nc pwnable.kr 9003 先看看ida里面的逻辑. 比较重要的信息时input变量再 ...
- 【pwnable.kr】 mistake
又一道pwnable,我还没放弃.. ssh mistake@pwnable.kr -p2222 (pw:guest) 源代码如下: #include <stdio.h> #include ...
- 【pwnable.kr】fb
这是pwnable.kr的签到题,记录pwn入门到放弃的第一篇. ssh fd@pwnable.kr -p2222 (pw:guest) 题目很简单,登录上了ssh后,发现了3个文件:fd,fd.c, ...
- pwnable.kr之simple Login
pwnable.kr之simple Login 懒了几天,一边看malloc.c的源码,一边看华庭的PDF.今天佛系做题,到pwnable.kr上打开了simple Login这道题,但是这道题个人觉 ...
- pwnable.kr的passcode
前段时间找到一个练习pwn的网站,pwnable.kr 这里记录其中的passcode的做题过程,给自己加深印象. 废话不多说了,看一下题目, 看到题目,就ssh连接进去,就看到三个文件如下 看了一下 ...
- pwnable.kr bof之write up
这一题与前两题不同,用到了静态调试工具ida 首先题中给出了源码: #include <stdio.h> #include <string.h> #include <st ...
- pwnable.kr col之write up
Daddy told me about cool MD5 hash collision today. I wanna do something like that too! ssh col@pwnab ...
随机推荐
- JavaScript 模块封装
JavaScript 模块封装 前言介绍 在最早的时候JavaScript这门语言其实是并没有模块这一概念,但是随着时间的推移与技术的发展将一些复用性较强的代码封装成模块变成了必要的趋势. 在这篇文章 ...
- angular.js 本地数据存储LocalStorage
定义工厂模式 factory 本地存储数据服务 app.factory('locals', ['$window', function ($window) { return { //存储单个属性 se ...
- golang 设计模式
前言 不做文字的搬运工,多做灵感性记录 这是平时学习总结的地方,用做知识库 平时看到其他文章的相关知识,也会增加到这里 随着学习深入,会进行知识拆分和汇总,所以文章会随时更新 参考的文章过多.很杂很乱 ...
- 在.NET Core中使用MongoDB明细教程(1):驱动基础及文档插入
MongoDB,被归类为NoSQL数据库,是一个以类JSON格式存储数据的面向文档的数据库系统.MongoDB在底层以名为bson的二进制编码格式表示JSON文档,MongoDB bson实现是轻量级 ...
- web基础(四)严格模式与混杂模式
web基础(四)严格模式与混杂模式 一.介绍 DOCTYPE 标签是一种标准通用标记语言的文档类型声明,它的目的是要告诉标准通用标记语言解析器,它应该使用什么样的文档类型定义(DTD)来解析文档.DO ...
- 基于vue的实时视频流开发
背景:多个实时视频的介入 技术:hls.js的流媒体,支持格式已m3u8为主 解决了什么:多个实时视频长时间播放会有卡顿的情况 具体代码实现: import Hls from 'hls.js' pla ...
- C# WebAPI项目,不支持HttpPut请求!!!
有点标题党了,这个异常的现象是这样的: 我有一个正在跑的项目,要对接第三方厂家的设备. 对方给的接口文档,里面有一个接口是需要我这边实现的,要求必须是PUT请求方式. 所以我在项目基础上,新增一个W ...
- selenium定位方法(一)
selenium定位方法-(一) 1.定位页面元素的方式(By类的方法) 1)id定位:通过页面元素的id属性值来定位一个页面元素 注意事项:如果每次刷新网页之后元素的id属性值都不同,说 ...
- linux计算命令
1.在lammps中通过car文件导出data文件 (进入工作目录xxx cd xxx/ msi2lmp.exe xxx -class I -frc clayff -i -ignore > ou ...
- Fiddler或Charles文件转换为Jmeter可执行脚本
解决脚本录制问题,可以将Fiddler或Charles转换成对应的Jmeter脚本,实现部分内容的参数化配置,通过修改部分参数或参数化可以对http协议的接口进行自动化测试或简单的压力测试 GitHu ...