Published 2022. 5. 4. 13:57

[pwnable] fd

ssh fd@pwnable.kr -p2222라고 입력하여 접속에 성공했다. (pw : guest)

ls -al을 통해 모든 파일과 디렉토리를 출력해주었다.

flag를 확인할 수 있으나 현재 id(fd)와 flag의 id(fd_pwn)이 달라서 권한이 없기 때문에 당장은 확인을 못한다.

fd.c를 확인해봤다.

코드를 살펴보자

char buf[32];

32크기의 문자형 배열 buf를 선언

	if(argc<2){
		printf("pass argv[1] a number\n");
		return 0;
	}

인자가 1개 이하이면 "pass argv[1] a number"을 출력하고 종료

	int fd = atoi( argv[1] ) - 0x1234;
	int len = 0;
	len = read(fd, buf, 32);

int형 변수 fd에 argv[1]값을 문자열에서 int형으로 바꾼 값에서 0x1234를 뺀 값을 저장해줌

int형 변수 len을 0으로 초기화

len에 read함수로 fd가 가리키는 파일을 32byte 읽어들여서 buf에 저장

ssiz_t read(int fd, void *buf, size_t bytes)

	if(!strcmp("LETMEWIN\n", buf)){
		printf("good job :)\n");
		system("/bin/cat flag");
		exit(0);
	}

buf에 입력된 값이 "LETMEWIN\n"과 비교했을 때 같다면 good job :)과 함께 flag가 출력되고 프로그램이 종료됨

(strcmp는 문자열을 비교해서 같다면 0 반환하는 함수)

	printf("learn about Linux file IO\n");
	return 0;

"learn about Linux file IO"을 출력하고 종료한다

read 함수를 통해 LETMEWIN을 입력하면 flag를 얻을 수 있을 것이다.

그렇기 때문에 fd의 위치(보통 0, 1, 2는 stdin, stdout, stderr)를 표준 입력(stdin)에 해당하는 0번으로 옮겨줘야 한다.

int fd = atoi( argv[1] ) - 0x1234;

0x1234는 10진수로 4660이기 때문에 argv[1]의 값을 4660으로 주고 LETMEWIN을 입력하면 플래그를 얻을 수 있다.

티스토리툴바