从提示信息来看,本题和操作符优先级相关,具体信息如下:
照例ssh链接查看源码等信息:
从服务器把mistake.c下载下来查看漏洞源码:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
| #include <stdio.h>
#include <fcntl.h>
#define PW_LEN 10
#define XORKEY 1
void xor(char* s, int len){
int i;
for(i=0; i<len; i++){
s[i] ^= XORKEY;
}
}
int main(int argc, char* argv[]){
int fd;
if(fd=open("/home/mistake/password",O_RDONLY,0400) < 0){
printf("can't open password %d\n", fd);
return 0;
}
printf("do not bruteforce...\n");
sleep(time(0)%20);
char pw_buf[PW_LEN+1];
int len;
if(!(len=read(fd,pw_buf,PW_LEN) > 0)){
printf("read error\n");
close(fd);
return 0;
}
char pw_buf2[PW_LEN+1];
printf("input password : ");
scanf("%10s", pw_buf2);
xor(pw_buf2, 10);
if(!strncmp(pw_buf, pw_buf2, PW_LEN)){
printf("Password OK\n");
system("/bin/cat flag\n");
}
else{
printf("Wrong Password\n");
}
close(fd);
return 0;
}
|
分析:
这道题从直观上来看,就是首先读取同目录password的10个字节内容,然后我们输入10个字节数据并将其每个字节与0x1进行异或,最后对两个值比较,一致则得到flag。
但是从ssh链接信息来看,password和flag一样,当前账户没有读写权限,那么想要直接查看password内容就行不通了。
结合题目提示信息,对代码再次梳理后发现了问题所在,从第17行、27行,细心的人一看就能发现问题,27行对于len的赋值多加了个括号提高优先级。在C/C++中,关系运算符的优先级要高于赋值运算符,所以17行的if(fd=open("/home/mistake/password",O_RDONLY,0400) < 0)这句代码,fd恒为0,而0作为文件描述符的一种,指向了stdin。相应的,27行read()读取的内容就是从stdin读取,而不是读取password内容。这也就是源码中使用sleep(time(0)%20)的原因,让我们以为程序执行起来后等待stdin键入内容的操作为程序睡眠操作,从而忽略这个关键点。
综上所述,只要控制stdin内容,那么两个要比较的buffer就都可以控制了,也就可以成功的cat flag了。验证一下:
