从提示信息来看,本题和操作符优先级相关,具体信息如下:
![](https://cdn.jsdelivr.net/gh/hskull00/Images/pwn/pwnable20210908095621.png)
照例ssh链接查看源码等信息:
![](https://cdn.jsdelivr.net/gh/hskull00/Images/pwn/pwnable20210908142915.png)
从服务器把mistake.c下载下来查看漏洞源码:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50
| #include <stdio.h> #include <fcntl.h>
#define PW_LEN 10 #define XORKEY 1
void xor(char* s, int len){ int i; for(i=0; i<len; i++){ s[i] ^= XORKEY; } }
int main(int argc, char* argv[]){ int fd; if(fd=open("/home/mistake/password",O_RDONLY,0400) < 0){ printf("can't open password %d\n", fd); return 0; }
printf("do not bruteforce...\n"); sleep(time(0)%20);
char pw_buf[PW_LEN+1]; int len; if(!(len=read(fd,pw_buf,PW_LEN) > 0)){ printf("read error\n"); close(fd); return 0; }
char pw_buf2[PW_LEN+1]; printf("input password : "); scanf("%10s", pw_buf2);
xor(pw_buf2, 10);
if(!strncmp(pw_buf, pw_buf2, PW_LEN)){ printf("Password OK\n"); system("/bin/cat flag\n"); } else{ printf("Wrong Password\n"); }
close(fd); return 0; }
|
分析:
这道题从直观上来看,就是首先读取同目录password的10个字节内容,然后我们输入10个字节数据并将其每个字节与0x1进行异或,最后对两个值比较,一致则得到flag。
但是从ssh链接信息来看,password和flag一样,当前账户没有读写权限,那么想要直接查看password内容就行不通了。
结合题目提示信息,对代码再次梳理后发现了问题所在,从第17行、27行,细心的人一看就能发现问题,27行对于len的赋值多加了个括号提高优先级。在C/C++中,关系运算符的优先级要高于赋值运算符,所以17行的if(fd=open("/home/mistake/password",O_RDONLY,0400) < 0)
这句代码,fd恒为0,而0作为文件描述符的一种,指向了stdin。相应的,27行read()读取的内容就是从stdin读取,而不是读取password内容。这也就是源码中使用sleep(time(0)%20)
的原因,让我们以为程序执行起来后等待stdin键入内容的操作为程序睡眠操作,从而忽略这个关键点。
综上所述,只要控制stdin内容,那么两个要比较的buffer就都可以控制了,也就可以成功的cat flag了。验证一下:
![](https://cdn.jsdelivr.net/gh/hskull00/Images/pwn/pwnable20210908151725.png)