pwnable.kr是一个关于pwn的wargame网站,在上面我们能通过各种wargame学习到不同漏洞。
0x00
这篇文章是pwnable的第一关fd,属于基础关,也正好适合我这种小白学习。
打开pwnable.kr的网站点击第一个fd游戏就能看到题目了。
题目的描述是关于Linux下的文件描述符,文件描述符是什么我到现在也是有点模糊不清,但是通过这个游戏大致有了个概念。
0x01
通过SSH就可以连接上目标服务器
ssh fd@pwnable.kr -p 2222
登录上服务器以后查看下目录下的文件
可以看到flag的文件属于fd_pwn和root组,而我们登录的用户是fd,没办法直接读取。接着我们可以发现fd文件我们是可以读取和执行的,那就试着执行一下
直接执行发现它提示我们需要带一个参数,那就简单的带一个1或0,发现它接着提示我们去了解Linux文件的I/O。这个暂时不管,先接着看第三个文件fd.c,可以看到这个文件是属于root和root组的,我们的权限只能查看,那就打开看看。
显然需要我们去读懂这段代码,那我们就一段段的看下去。
if(argc<2){
printf("pass argv[1] a number\n");
return 0;
}
这段代码提示我们运行fd文件的时候需要带一个参数给文件,用于后续程序的执行。
int fd = atod(argv[1]) - 0x1234;
要看懂这段代码就需要了解atoi()这个函数,那就google一下
int atoi(const char *nptr);
用法:将字符串里的字符串转化为整形。
注意:转化时跳过前面的空格字符,直到遇上数字或正负符号才开始做转换,而再遇到非数字或字符串结束时('/0')才结束转换,
并将结果返回。如果 nptr不能转换成 int 或者 nptr为空字符串,那么将返回 0
为了弄懂这个函数,我们可以实际调用一下这个函数感受一下。
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
int main(int argc, char* argv[]){
char* str1 = "12345";
char* str2 = "-12345";
char* str3 = "a123a45";
char* str4 = " 123 45";
a=atoi(str1);
b=atoi(str2);
c=atoi(str3);
d=atoi(str4);
printf("a=%d b=%d c=%d d=%d\n",a,b,c,d);
return 0;
}
编译执行后得到的结果是:
a=12345, b=-12345, c=0, d=123
那么至此大概明白了atoi函数的作用,所以
int fd = atod(argv[1]) - 0x1234;
这段代码就是要把用户输入的字符串通过atod转成整型,然后减掉0x1234
接着往后看,
int len = 0;
len = read(fd,buf,32);
这里需要弄懂read函数的作用,以及各个参数的意思。
ssize_t read(int filedes, void *buf, size_t nbytes);
read()会把参数fd 所指的文件传送count个字节到buf指针所指的内存中。若参数count为0,则read()不会有作用并返回0。返回值为实际读取到的字节数,如果返回0,表示已到达文件尾或是无可读取的数据,此外文件读写位置会随读取到的字节移动。
刚开始,我看这个函数的解释时也不太明白fd参数是什么意思,为什么是一个整型的参数值。这时想到题目的说明是linux下的文件描述符。百度或者google都能搜索到很多关于文件描述符的解释,下面摘录一小段:
在Linux系统中一切皆可以看成是文件,文件又可分为:普通文件、目录文件、链接文件和设备文件。文件描述符(file descriptor)是内核为了高效管理已被打开的文件所创建的索引,其是一个非负整数(通常是小整数),用于指代被打开的文件,所有执行I/O操作的系统调用都通过文件描述符。
程序刚刚启动的时候,0是标准输入,1是标准输出,2是标准错误。如果此时去打开一个新的文件,它的文件描述符会是3。
引用自:http://blog.csdn.net/cywosp/article/details/38965239
那么上面的两行代码就是把fd指向的文件中,读取32个字节到buf数组中。其中在这里我们需要特别关注文件描述符为0的意思,标准输入。就是当fd=0时,我们从键盘输入字符串,那么就能把字符串输入到buf数组里。
接下来就是这段代码,也是最为关键的地方:
if(!strcmp("LETMEWIN\n",buf){
printf("good job :)\n");
system("/bin/cat flag");
exit(0);
}
首先我们看到
system("/bin/cat flag");
在linux下,system()函数就是系统调用命令,相当于在linux下的bash环境中输入的一系列命令,而"/bin/cat"这个字符串代表的就是cat命令的软链接。整句代码就相当于我们在bash中输入
cat flag
去查看flag文件的内容。
另外,在搜索相关system函数的内容时,发现这个函数很容易出现问题,但在这里只是简要的应用,就不作深入的理解。但是我一开始想到的就是文件的属主与权限问题,但看回第三张图的时候,发现了flag文件和fd文件都是属于fd_pwn的,因此猜测性的理解system函数在执行过程可能要依赖于执行函数的文件的用户权限。
在明白了system函数后,我们知道了要想打开flag文件,就要满足if条件
if(!strcmp("LETMEWIN\n",buf)
而strcmp函数在buf数组与字符串"LETMEWIN"相同时,就会返回0。
至此,整段代码的分析到这里就已经弄懂了程序的逻辑。
1.为了使system函数成功执行,我们要满足if条件;
2.要满足if条件,我们需要buf数组里存放的字符串是"LETMEWIN";
3.而通过read函数我们可以把fd指向的文件内容输入到buf数组里;
4.而当fd=0时,fd就是标准输入,也就是可以通过键盘输入"LETMEWIN"使的buf数组满足我们的要求;
5.想要让fd=0,就需要我们在开始执行fd文件时,输入一个合适的参数,使得这个参数通过atoi函数转换成整型与0x1234相减等于0;
6.那么我们可以通过计算器去计算0x1234的十进制形式的值,也就是4660,在执行fd文件时带上参数就能成功查看flag文件获取flag的值。
0x10 总结
通过pwnable的第一关fd,也是最简单的一关,我们学到了atoi、read、system和strcmp函数的基本使用,同时接触了linux下文件描述符的基本概念,而关于文件描述符还有很多更深层的知识没有触及到,需要后面慢慢学习。
