原题:
Bad idea to use predictable stuff.
source code:
/*
* gcc ch21.c -lcrypt -o ch21
*/
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <crypt.h>
#include <sys/types.h>
#include <unistd.h>
int main (int argc, char *argv[]) {
char pid[16];
char *args[] = { "/bin/bash", "-p", 0 };
snprintf(pid, sizeof(pid), "%i", getpid());
if (argc != 2)
return 0;
printf("%s=%s",argv[1], crypt(pid, "$1$awesome"));
if (strcmp(argv[1], crypt(pid, "$1$awesome")) == 0) {
printf("WIN!\n");
execve(args[0], &args[0], NULL);
} else {
printf("Fail... :/\n");
}
return 0;
}
Challenge connection informations :
Hostchallenge01.root-me.org
ProtocolSSH
Port2221
SSH access: ssh -p 2221 cryptanalyse-ch21@challenge01.root-me.org
Usernamecryptanalyse-ch21
Passwordcryptanalyse-ch21
打开ssh的链接,用ls -a我们可以看到当前目录:
ch21是可执行文件,执行效果在下一行代码中。ch21.c是源码,和题干中的源码一样。.passwd是隐藏文件,以现在的权限不能读取。
查看源码之后可以发现我们要输入一个和等号后面一样的字符串就可以得到一个shell。那个字符串是由程序的PID加密得到的。
因为PID是有限的,如果用完了PID就会循环从0开始。题目中的ELF32可以看到这个系统是32位的,所以PID最大为32768。我写了一个循环来使PID重用,从而利用之前程序返回的字符串可以使程序的判断为真:
for i in `seq 1 32768`; do ./ch21 '$1$awesome$taBoXpC0SSn8X3yE3WgJd1'; done
运行结果如下:
得到shell之后查看隐藏文件.passwd就可以得到flag。
提交flag后看到别人的solution,看到有人一行代码就可以实现。。。
./ch21 $(python -c 'import os,crypt; print crypt.crypt(str(os.getpid() + 1), "$1$awesome")')
原来crypt.h是unix标准库里的,我之前以为这个头文件是他们自己写的。。。
既然是标准的加密函数,我们就可以预测出PID然后输入到这个函数中得到结果。
