pwnable 笔记 Toddler's Bottle - input

本文主要是介绍pwnable 笔记 Toddler's Bottle - input，希望对大家解决编程问题提供一定的参考价值，需要的开发者们随着小编来一起学习吧！

这题考察Linux的各种输入：参数，标准输入输出，环境变量，文件输入输出，socket

解题时用了python的subprocess（用法见我的上一篇博客），做这题挺时间的，题目的各种坑点，我会在后面一一指出

题目源代码：（为了方便本地调试，在源码里加了debug用的put("ok");）

<span style="font-family:Microsoft YaHei;font-size:18px;">#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <sys/socket.h>
#include <arpa/inet.h>int main(int argc, char* argv[], char* envp[]){printf("Let's see if you know how to give input to program\n");printf("Just give me correct inputs then you will get the flag :)\n");// argvif(argc != 100) return 0;puts("ok");if(strcmp(argv['A'],"\x00")) return 0;puts("ok");if(strcmp(argv['B'],"\x20\x0a\x0d")) return 0;puts("ok");printf("Stage 1 clear!\n");	// stdiochar buf[4];read(0, buf, 4);if(memcmp(buf, "\x00\x0a\x00\xff", 4)) return 0;puts("ok");read(2, buf, 4);if(memcmp(buf, "\x00\x0a\x02\xff", 4)) return 0;puts("ok");printf("Stage 2 clear!\n");// envif(strcmp("\xca\xfe\xba\xbe", getenv("\xde\xad\xbe\xef"))) return 0;puts("ok");printf("Stage 3 clear!\n");// fileFILE* fp = fopen("\x0a", "r");if(!fp) return 0;puts("ok");if( fread(buf, 4, 1, fp)!=1 ) return 0;puts("ok");if( memcmp(buf, "\x00\x00\x00\x00", 4) ) return 0;puts("ok");fclose(fp);printf("Stage 4 clear!\n");	// networkint sd, cd;struct sockaddr_in saddr, caddr;sd = socket(AF_INET, SOCK_STREAM, 0);if(sd == -1){printf("socket error, tell admin\n");return 0;}puts("ok");saddr.sin_family = AF_INET;saddr.sin_addr.s_addr = INADDR_ANY;saddr.sin_port = htons( atoi(argv['C']) );if(bind(sd, (struct sockaddr*)&saddr, sizeof(saddr)) < 0){printf("bind error, use another port\n");return 1;}puts("ok");listen(sd, 1);int c = sizeof(struct sockaddr_in);cd = accept(sd, (struct sockaddr *)&caddr, (socklen_t*)&c);if(cd < 0){printf("accept error, tell admin\n");return 0;}puts("ok");if( recv(cd, buf, 4, 0) != 4 ) return 0;puts("ok");if(memcmp(buf, "\xde\xad\xbe\xef", 4)) return 0;printf("Stage 5 clear!\n");// here's your flagsystem("/bin/cat flag");	return 0;
}
</span>

没有什么技巧，照着源码的要求，一步一步构造输入即可。

直接贴出py脚本：

<span style="font-family:Microsoft YaHei;font-size:18px;">from subprocess import *
import os
import socket
import timestdinr, stdinw = os.pipe()
stderrr, stderrw = os.pipe()# stage1 arg
args = list("A" * 99)
args[ord('A') - 1] = ""
args[ord('B') - 1] = "\x20\x0a\x0d"
args[ord('C') - 1] = "8888"#stage2 std io
os.write(stdinw, "\x00\x0a\x00\xff")
os.write(stderrw, "\x00\x0a\x02\xff")#stage3 env
environ = {"\xde\xad\xbe\xef":"\xca\xfe\xba\xbe"}#satge4 file o
f = open("\x0a", "wb")
f.write("\x00"*4)
f.close()#satge5 network io
s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)proc = Popen(["/home/input2/input"] + args, stdin=stdinr, stderr=stderrr, env=environ)time.sleep(2)
s.connect(("127.0.0.1", 8888))
s.send("\xde\xad\xbe\xef")
s.close()</span>

下面说一下比较坑的点，由于在/home/input这个目录下没有权限创建新文件，所以需要把脚本放在/tmp去执行，stage4创建文件的操作也需要在tmp下进行

但是源码 system("/bin/cat flag"); 中使用的是相对路径，所以还需要对flag进行连接

<span style="font-family:Microsoft YaHei;font-size:18px;">$ cd /tmp #更换目录
$ touch a.py #创建脚本
$ ln -s /home/input2/flag ./flag #软连接flag$ python a.py</span>

跑完脚本之后显示stage1-5全都通过，但是就是没有弹出flag,于是把之前连接来的flag删掉，自己随便写了一个flag文件，发现是可以弹出来的

猜想可能是文件权限的问题，看了一下，发现/tmp文件夹的r权限关掉了，但是w权限还在

于是在/tmp下新建一个文件夹，把脚本放在这个文件夹里执行

<span style="font-family:Microsoft YaHei;font-size:18px;">$ mkdir -p /tmp/input
$ ln -s ~/flag ./
$ touch a.py
$ python a.py
</span>

get it √

这篇关于pwnable 笔记 Toddler's Bottle - input的文章就介绍到这儿，希望我们推荐的文章对编程师们有所帮助！

---