190705——【CTF】PWN：pwnable.kr 刷题之 fd

此题为 pwnable.kr 中 toddler级别的第一题，
涉及对代码逻辑漏洞利用的相关知识。
思路来自于大师傅，当前处于学习阶段，硬碰硬的效率显然低于先学习题解。

原题链接：https://pwnable.kr/play.php

题目信息：

ssh连上之后，显示所在目录为 /home/fd
当前目录下有三个文件：

• 可执行文件 fd
• 可读文件 fd.c
• 不可执行文件 flag
  

尝试执行fd：

提示需要给出一个数字，给出数字后，打印出类似提示的一句：了解linux文件读写

看一下源码：

//fd.c
#include 
#include 
#include 
char buf[32];
int main(int argc, char* argv[], char* envp[]){
	if(argc<2){
		printf("pass argv[1] a number\n");
		return 0;
	}
	int fd = atoi( argv[1] ) - 0x1234;
	int len = 0;
	len = read(fd, buf, 32);
	if(!strcmp("LETMEWIN\n", buf)){
		printf("good job :)\n");
		system("/bin/cat flag");
		exit(0);
	}
	printf("learn about Linux file IO\n");
	return 0;

}

可以发现，如果在运行时没有给出参数的话，argc=1¹，则第一个if分支会返回0，所以必须给出参数，。

而后，给出的参数放入argv[1]中，经atoi转化为一个整型值，减去0x1234；

下面，出现了一个read函数，在接下来的if分支中，如果buf的值为“LETMEWIN”，则打印出flag。于是乎现在的问题就是:如何修改buf缓冲区的值呢？

这里考到了read函数的一个特性²：

read (int fd, void *buf, size_t count);

read函数的功能为：从fd所指的文件中，读取count个字节的数据，到buf所指的缓冲区中。
而当fd为0时，read函数将从命令行读入一个标准输入stdin。

这是linux下的特性

stdin 0　　　　　　标准输入
stdout 1　　　　　　标准输出
stderr 2　　　　　　标准错误输出

所以，我们只要令fd=0，就可以使得read从命令行读取输入到buf中，我们就获得了重写buf的机会。则只需利用运行时的参数，使argv为0x1234即可。转为十进制是4660，因为atoi会对输入的字符串当做十进制来理解。

于是，在运行./fd.c时，传入参数为4660，回车后输入“LETMEWIN”
flag如图所示
这是开始学习的第一道pwn题，总结一下思路（套路）：

• ssh或nc连上
• 查看当前目录下所有可疑文件
• 运行能运行的程序。
• 查看源码。
• 找到溢出点。
• 输入对应字符。
• 获取 flag。

本题涉及的知识包括

• main函数的参数
• linux下read（）函数参数与标准输入输出
• atoi函数特性。
  未涉及溢出，主要是利用了对buf数据的要求，构造了参数。

---

1. main函数的argc参数记录从命令行启动时的所有输入参数的个数，包括类似于./fd.c的命令，而argv存储了所有的命令行参数，本题中argv[0]为./fd.c、argv[1]为第一个参数。main函数的参数如何理解 ↩︎

2. atoi函数，将一个字符串转换为整型，对给定的字符串以十进制的方式理解atoi函数 ↩︎