pwnable input解题记录

给了源码如下:

#include "stdio.h"

#include "unistd.h"

#include "stdlib.h"

#include "arpa/inet.h"

int main(){

	//stage argv

	char *argv[101] = {"/home/input2/input", [1 ... 99] = "A", NULL};

	argv['A'] = "\x00";

	argv['B'] = "\x20\x0a\x0d";

	argv['C'] = "55555";

	//stage stdio

	int pipe2stdin[2] = {-1, -1};

	int pipe2stderr[2] = {-1, -1};

	pid_t childpid;

	//stage file

	FILE* fp = fopen("\x0a", "w");

	fwrite("\x00\x00\x00\x00", 4, 1, fp);

	fclose(fp);

	if(pipe(pipe2stdin) < 0 || pipe(pipe2stderr) < 0)

	{

		perror("Cannot create the pipe!");

		exit(1);

	}

	if((childpid = fork()) < 0)

	{

		perror("Cannot fork!");

		exit(1);

	}

	if(childpid == 0)

	{

		close(pipe2stdin[0]);  //close pipes of read

		close(pipe2stderr[0]);

		write(pipe2stdin[1], "\x00\x0a\x00\xff", 4);

		write(pipe2stderr[1], "\x00\x0a\x02\xff", 4);

	}

	else{

		close(pipe2stdin[1]); close(pipe2stderr[1]);   //close pipes of write

		dup2(pipe2stdin[0], 0); dup2(pipe2stderr[0], 2);

		close(pipe2stdin[0]); close(pipe2stderr[0]);

		//stage env

		char *envp[2] = {"\xde\xad\xbe\xef=\xca\xfe\xba\xbe", NULL};

		execve("/home/input2/input", argv, envp);

	}

	sleep(2);

	int sockfd;

	struct sockaddr_in server;

	sockfd = socket(AF_INET, SOCK_STREAM, 0);

	if(sockfd < 0){

		perror("Socket build error!");

		exit(1);

	}

	server.sin_family = AF_INET;

	server.sin_addr.s_addr = inet_addr("127.0.0.1");

	server.sin_port = htons(55555);

	if(connect(sockfd, (struct sockaddr*)&server, sizeof(server)) < 0){

		perror("Connect error!");

		exit(1);

	}

	char buf[4] = "\xde\xad\xbe\xef";

	write(sockfd, buf, 4);

	close(sockfd);

	return 0;

}

是为了让解题者满足代码中所需要满足的条件,总共5个,分别包括:参数传递、标准输入输出、环境变量、文件读写以及网络通信方面。

1.argv

  参数第'A''B'位分别为"\x00"和"\x20\x0a\x0d",也就是第65位和第66位(第0位为可执行文件的路径),但是'\x00'会截断。

  于是使用execve运行input文件,execve函数在unistd(unix standard)头文件中:

int execve(const char *path, char *const argv[], char *const envp[]);

以argv参数进行传递相应参数。

2.stdio

ssize_t read(int fildes, void *buf, size_t nbytes);

摘自 http://codewiki.wikidot.com/c:system-calls:read

Field Description
int fildes The file descriptor of where to read the input. You can either use a file descriptor obtained from the open system call, or you can use 0, 1, or 2, to refer to standard input, standard output, or standard error, respectively.
const void *buf A character array where the read content will be stored.
size_t nbytes The number of bytes to read before truncating the data. If the data to be read is smaller than nbytes, all data is saved in the buffer.
return value Returns the number of bytes that were read. If value is negative, then the system call returned an error.

  可以看到分别需要从stdinstderr读取相关的数据,但是stderr没法写,于是需要用到c中的叫做管道(pipe)的东西可用于子进程与父进程之间的通讯使用;于是子进程向缓冲区写数据,而父进程先将定义的相应缓冲区分别替换stdin和stderr,之后则可以从缓冲区进行读取。

3.env

  getenv函数获取系统中环境变量,这个同样以execve进行处理,其中的envp参数进行传递。

4.file

  常规操作,自己创建一个文件,然后写"\x00\x00\x00\x00"进去然后再读即可。

5.network

  是以传递的第C个参数作为监听端口,以及socket通信获取传来的消息,采用本地通信。socket网络编程网上一搜就出来的,其实百度百科说的还挺清楚的...中间需要sleep几秒等待接收信息的服务开启,然后传递信息。

  最后在/tmp目录下面可以创建一个文件xxx,但是由于后面还得创建一个与/home/input2/flag的软链接(因为在/tmp目录下仍然没有权限cat flag),因为在运行input2文件时路径还是相对路径:

ln -s /home/input2/flag flag

之后创建一个c文件编译运行即可。

代码整理:

#include "stdio.h"

#include "unistd.h"

#include "stdlib.h"

#include "arpa/inet.h"

int main(){

	//stage argv

	char *argv[101] = {"/home/input2/input", [1 ... 99] = "A", NULL};

	argv['A'] = "\x00";

	argv['B'] = "\x20\x0a\x0d";

	argv['C'] = "55555";

	//stage stdio

	int pipe2stdin[2] = {-1, -1};

	int pipe2stderr[2] = {-1, -1};

	pid_t childpid;

	//stage file

	FILE* fp = fopen("\x0a", "w");

	fwrite("\x00\x00\x00\x00", 4, 1, fp);

	fclose(fp);

	if(pipe(pipe2stdin) < 0 || pipe(pipe2stderr) < 0)

	{

		perror("Cannot create the pipe!");

		exit(1);

	}

	if((childpid = fork()) < 0)

	{

		perror("Cannot fork!");

		exit(1);

	}

	if(childpid == 0) //child process

	{

		close(pipe2stdin[0]);  //close pipes of read

		close(pipe2stderr[0]);

		write(pipe2stdin[1], "\x00\x0a\x00\xff", 4);

		write(pipe2stderr[1], "\x00\x0a\x02\xff", 4);

	}

	else{            //parent process

		close(pipe2stdin[1]); close(pipe2stderr[1]);   //close pipes of write

		dup2(pipe2stdin[0], 0); dup2(pipe2stderr[0], 2);    //change stdin and stderr

		close(pipe2stdin[0]); close(pipe2stderr[0]);

		//stage env

		char *envp[2] = {"\xde\xad\xbe\xef=\xca\xfe\xba\xbe", NULL};

		execve("/home/input2/input", argv, envp);

	}

	sleep(2);

	int sockfd;

	struct sockaddr_in server;

	sockfd = socket(AF_INET, SOCK_STREAM, 0);

	if(sockfd < 0){

		perror("Socket build error!");

		exit(1);

	}

	server.sin_family = AF_INET;

	server.sin_addr.s_addr = inet_addr("127.0.0.1");

	server.sin_port = htons(55555);

	if(connect(sockfd, (struct sockaddr*)&server, sizeof(server)) < 0){

		perror("Connect error!");

		exit(1);

	}

	char buf[4] = "\xde\xad\xbe\xef";

	write(sockfd, buf, 4);

	close(sockfd);

	return 0;

}

参考链接:https://werewblog.wordpress.com/2016/01/11/pwnable-kr-input/

pwnable.kr input解题记录的更多相关文章

  1. 【pwnable.kr】input

    这道题是一道一遍一遍满足程序需求的题. 网上其他的题解都是用了C语言或者python语言的本地调用,我想联系一下pwntools的远程调用就写了下面的脚本, 执行效果可以通过1~4的检测,到最后soc ...

  2. pwnable.kr之input

    连接到远程服务器:ssh input2@pwnable.kr -p2222 查看题目所给的代码,根据题目的要求我们要给出所有符合条件的输入才能拿到flag,本来想在输入上动点歪脑筋,结果输入有字节数的 ...

  3. 【pwnable.kr】fb

    这是pwnable.kr的签到题,记录pwn入门到放弃的第一篇. ssh fd@pwnable.kr -p2222 (pw:guest) 题目很简单,登录上了ssh后,发现了3个文件:fd,fd.c, ...

  4. pwnable.kr详细通关秘籍(二)

    i春秋作家:W1ngs 原文来自:pwnable.kr详细通关秘籍(二) 0x00 input 首先看一下代码: 可以看到程序总共有五步,全部都满足了才可以得到flag,那我们就一步一步来看 这道题考 ...

  5. pwnable.kr的passcode

    前段时间找到一个练习pwn的网站,pwnable.kr 这里记录其中的passcode的做题过程,给自己加深印象. 废话不多说了,看一下题目, 看到题目,就ssh连接进去,就看到三个文件如下 看了一下 ...

  6. pwnable.kr brainfuck之write up

    I made a simple brain-fuck language emulation program written in C. The [ ] commands are not impleme ...

  7. 【pwnable.kr】 [simple login]

    Download : http://pwnable.kr/bin/login Running at : nc pwnable.kr 9003 先看看ida里面的逻辑. 比较重要的信息时input变量再 ...

  8. 【pwnable.kr】 mistake

    又一道pwnable,我还没放弃.. ssh mistake@pwnable.kr -p2222 (pw:guest) 源代码如下: #include <stdio.h> #include ...

  9. 黑客练手入门| pwnable.kr—幼儿瓶—01:fd

    目录 前言 pwnable.kr介绍 该怎么玩 幼儿瓶第一道题:fd 0x00 问题描述 0x01 源码分析 0x02 解题方法 0x03 知识点总结 前言 担心有人不知道pwnable.kr是什么, ...

随机推荐

  1. osi参考模型(开放系统互连参考模型)

    自互联网诞生以来,随着网络飞速发展,用户迫切要求能在不同体系结构的网络空间交换信息,使得不同的网络能够互联起来. 国际化标准组织(International Organization for Stan ...

  2. Android音视频之AudioTrack播放音频(二)

    前一篇讲了如何录制wav音频文件,本篇就来讲讲如何播放wav文件,这里就是使用AudioTrack来播放音频,确切的说是播放pcm格式数据,使用AudioTrack播放也没什么难度,主要就是将数据写入 ...

  3. cmd 执行Dcpromo错误:在该 SKU 上不支持 Active Directory 域服务安装向导,Windows Server 2008 R2 Enterprise 配置AD(Active Directory)域控制器

    今天,要安装AD域控制器,运行dcpromo结果提示:在该 SKU 上不支持 Active Directory 域服务安装向导. 以前弄的时候直接就通过了,这次咋回事?终于搞了大半天搞定了. 主要原因 ...

  4. 积极参与开源项目,促进.NET Core生态社区发展

    今天早上在微信群里聊天聊到百度的SDK 已经支持.NET Core, 百度已经在3月份就支持了,想起当时还是我在他们的github上提的issue: https://github.com/Baidu- ...

  5. Leetcode 136.只出现一次的数字 By Python

    给定一个非空整数数组,除了某个元素只出现一次以外,其余每个元素均出现两次.找出那个只出现了一次的元素. 说明: 你的算法应该具有线性时间复杂度. 你可以不使用额外空间来实现吗? 示例 1: 输入: [ ...

  6. 音频处理贤内助--libsndfile

    libsndfile是由Erik de Castro Lopo写的的广泛用于读写音频文件的C语言库.它支持的音频格式十分广泛并且能够自动的从一种格式到另外一种格式.它极大的方便了开发者,可以让开发者忽 ...

  7. Java Spring MVC框架搭建(一)

    环境准备 >>>>>>java JDK和tomcat,eclipse 1.创建项目 2.项目名称自定义,这边为demo 3.我们已经创建完一个动态网站的项目,还得下 ...

  8. Java注解(Annotation):请不要小看我!

    Java注解是一系列元数据,它提供数据用来解释程序代码,但是注解并非是所解释的代码本身的一部分.注解对于代码的运行效果没有直接影响. 网络上对注解的解释过于严肃.刻板,这并不是我喜欢的风格.尽管这样的 ...

  9. [截稿日期] 人机交互与普适计算方向的A、B类国际会议

    CCF推荐的人机交互与普适计算方向的A.B类会议截稿日期 一.A类 序号 会议简称 会议全称 出版社   截稿日期 网址 1 CHI ACM Conference on Human Factors i ...

  10. NetStateReceiver【监听网路状态变化】

    版权声明:本文为HaiyuKing原创文章,转载请注明出处! 前言 用来监控网络变化时的处理,一般用来toast提示或者扩展为其他作用. 效果图    代码分析 NetStateReceiver:网络 ...