RootMe: ELF32 - PID encryption

原题:

Bad idea to use predictable stuff.

source code:

/*

* gcc ch21.c -lcrypt -o ch21

*/

#include <stdio.h>

#include <stdlib.h>

#include <string.h>

#include <crypt.h>

#include <sys/types.h>

#include <unistd.h>

int main (int argc, char *argv[]) {

    char pid[16];

    char *args[] = { "/bin/bash", "-p", 0 };

    snprintf(pid, sizeof(pid), "%i", getpid());

    if (argc != 2)

        return 0;

    printf("%s=%s",argv[1], crypt(pid, "$1$awesome"));

    if (strcmp(argv[1], crypt(pid, "$1$awesome")) == 0) {

        printf("WIN!\n");

execve(args[0], &args[0], NULL);


    } else {

        printf("Fail... :/\n");

    }

    return 0;

}

Challenge connection informations :

Hostchallenge01.root-me.org

ProtocolSSH

Port2221

SSH access: ssh -p 2221 cryptanalyse-ch21@challenge01.root-me.org

Usernamecryptanalyse-ch21

Passwordcryptanalyse-ch21


打开ssh的链接,用ls -a我们可以看到当前目录:


ch21是可执行文件,执行效果在下一行代码中。ch21.c是源码,和题干中的源码一样。.passwd是隐藏文件,以现在的权限不能读取。

查看源码之后可以发现我们要输入一个和等号后面一样的字符串就可以得到一个shell。那个字符串是由程序的PID加密得到的。

因为PID是有限的,如果用完了PID就会循环从0开始。题目中的ELF32可以看到这个系统是32位的,所以PID最大为32768。我写了一个循环来使PID重用,从而利用之前程序返回的字符串可以使程序的判断为真:

for i in `seq 1 32768`; do ./ch21 '$1$awesome$taBoXpC0SSn8X3yE3WgJd1'; done

 运行结果如下:


得到shell之后查看隐藏文件.passwd就可以得到flag。


提交flag后看到别人的solution,看到有人一行代码就可以实现。。。

./ch21 $(python -c 'import os,crypt; print crypt.crypt(str(os.getpid() + 1), "$1$awesome")')

原来crypt.h是unix标准库里的,我之前以为这个头文件是他们自己写的。。。

既然是标准的加密函数,我们就可以预测出PID然后输入到这个函数中得到结果。

©著作权归作者所有,转载或内容合作请联系作者
平台声明:文章内容(如有图片或视频亦包括在内)由作者上传并发布,文章内容仅代表作者本人观点,简书系信息发布平台,仅提供信息存储服务。

推荐阅读更多精彩内容

  • mean to add the formatted="false" attribute?.[ 46% 47325/...
    ProZoom阅读 2,719评论 0 3
  • 来源:http://bbs.ichunqiu.com/thread-9492-1-1.html?from=ch 社...
    池寒阅读 2,570评论 0 4
  • 信号信号是linux操作系统进程间通信的一种方式,一个应用进程可以接受、发送信号给另一个进程,当进程捕获到某个信号...
    zhile_doing阅读 482评论 0 0
  • 长寿之乡在哪? 绝大多数人都会回答——在幽静偏远的山野村庄!比如最有名气的——巴马! 不过,很遗憾的告诉你,你的回...
    郭晓光阅读 392评论 0 1
  • 明天,我将前往杭州 因为那里拥有洁白的青春和人群 他们拥有臃肿,蚁后般的身体,需要 快捷而优质的食物 我,一个荒野...
    李雨人阅读 665评论 1 3