pwnable-----mistack和shellshock
pwnable
- 看源碼
#include <stdio.h>
#include <fcntl.h>
#define PW_LEN 10
#define XORKEY 1
void xor(char* s, int len){
int i;
for(i=0; i<len; i++){
s[i] ^= XORKEY;
}
}
int main(int argc, char* argv[]){
int fd;
if(fd=open("/home/mistake/password",O_RDONLY,0400) < 0){
printf("can't open password %d\n", fd);
return 0;
}
printf("do not bruteforce...\n");
sleep(time(0)%20);
char pw_buf[PW_LEN+1];
int len;
if(!(len=read(fd,pw_buf,PW_LEN) > 0)){
printf("read error\n");
close(fd);
return 0;
}
char pw_buf2[PW_LEN+1];
printf("input password : ");
scanf("%10s", pw_buf2);
// xor your input
xor(pw_buf2, 10);
if(!strncmp(pw_buf, pw_buf2, PW_LEN)){
printf("Password OK\n");
system("/bin/cat flag\n");
}
else{
printf("Wrong Password\n");
}
close(fd);
return 0;
}
- 分析
只有最後的if語句爲真才執行system函數,才能get flag
流程:從password中讀取10個字節,然後自己輸入10個字節,與十個1的抑或之後,比較手動輸入的和password輸入的,如果相等就輸出flag
根據題目的提示,是操作符優先級的問題。
if(fd=open("/home/mistake/password",O_RDONLY,0400)< 0)
這句代碼中,<的優先級大於=,所以先進行比較,後進行賦值,而open打開一個文件,任何情況下返回都不會小於0,因此比較之後就等於0,fd=0了,對read函數來說,fd=0就是從標準輸入讀入,因此實際上buf1就是用戶自己輸入的10個字節。所以就簡單了。
先輸入10個0
因爲0000000000 ^ 1111111111 = 1111111111
所以在input password再輸入1111111111
這樣就滿足了strncmp的判斷
shellshock
- 發現這源代碼沒有什麼可以讀的,仔細審題後發現多了個bash,查看資料後發現這是一個 破殼 的漏洞。
- 這是我發現寫的不錯的解題思路和漏洞信息
- 最後就能cat flag
總結:還是太年輕,有很多地方都沒有想到。