从pwnable.kr入门pwn(1) input

pwnable.kr input

ssh 远程连接
cat input.c

关键语句分析及函数学习

1.

• argv argument value 指针数组，用来存放指向你的字符串参数的指针，每一个元素指向一个参数
• argc argument counter 参数个数
  argv本身是指针数组 argv[0] 保存路径 argv[1~argc-1] 指向参数
  argv[argc]=NULL

（1）argc=100 要初始化101个告诉他哪里结束 也就是到argv[100]=NULL
（2）argv[‘A’] 原本 argv[n] n应该是数字 所以这里取ascii码

2.

（1）函数原型ssize_t read(int fd, void *buf, size_t count);

• ①buf是指针型 也就是位置 所以char buf[4] buf本身是字符型数组 不加下标当作指针用 也就是充当缓存区
• ② 4就是count 取几个字节 如果是中文一个算两个
• ③ fd原本是STDIN_FILENO接收键盘的输入STDOUT_FILENO：向屏幕输出
  这里0/1/2 是文件描述符
  0是输入 1是输出 2是报错
  0：STDIN_FILENO 1：STDOUT_FILENO 2：STDERR_FILENO
  （2）函数原型int memcmp(const void str1, const void str2, size_t n));
  比较str1 str2 前n个字节 >返回 1 = 返回0 < 返回-1
  赋值使相等

3.

（1）getenv() 获取环境变量 也就是名字是deadbeef的变量

使得值是cafebabe

4.

• （1）函数原型FILE fopen(const char path,const char * mode);
  path 路径 mode 权限 wb和w在Linux下一样
  要使fp存在 则需要有文件且能打开
• （2）函数原型size_t fread(void buffer,size_t size,size_t count, FILE stream)

buffer读取存放位置 size每次读取大小 count读取次数 stream 文件流 读取对象

5.

if部分都是确定成功就不会报错

函数原型int recv(SOCKETs, charFAR* buf, int len, int flags);

• 第一个参数指定接收端套接字描述符；
• 第二个参数指明一个缓冲区，该缓冲区用来存放recv函数接收到的数据；
• 第三个参数指明buf的长度；
• 第四个参数一般置0。

通常recv有几种返回值

• 1.==0
  表示收到FIN包， 因为FIN包，是状态为标记为FIN的空包，没有携带数据，所以recv的长度为0
• 2.>0
  表示收到了数据， 但是有没有收完，是不知道的
• 3.<0
  == EAGAIN 表示接收缓冲区中已经没数据了，需要暂停下，业务程序需要检查下包的完整性，才知道有没有收完，如果没收完，就继续recv
  != EAGAIN 表示接收出错了，如果是服务端， 就可以直接关闭连接了.|||摘自https://www.cnblogs.com/ctrlzhang/p/5421297.html
  也就是说接收4个字节且为deadbeef
  建立连接 发送数据为deadbeef

  源码分析完毕接下来是写exp

  先确认思路要干什么

• 1.argv[0] 路径 argv[‘A’] \x00 argv[‘B’] \x20\x0a\x0d argv[100] NULL argv[‘C’] port (在网络连接那里用)
• 2.从标准错误流输入\x00\x0a\x02\xff，从标准输入流输入\x00\x0a\x00\xff
• 3.环境变量 \xde\xad\be\ef=\xca\xfe\xba\xbe
• 4.写文件内容是\x00\x00\x00\x00 路径\x0a
• 5.网络连接 传输\xde\xad\xbe\xef

代码(井号会触发格式所以这里没写)

include <stdio.h>
include <unistd.h>
include <sys/types.h>
include <stdlib.h>
include <sys/wait.h>
include <arpa/inet.h>
include <sys/socket.h>
include <netinet/in.h>
int main()
{
char *argv[101]={"/home/input2", [1 ... 99] = "A", NULL};
argv['A']="\x00";
argv['B']="\x20\x0a\x0d";
argv['C']="55555";//1
{建立管道pipe实现读写
pipe是进程之间交互
int pipe2stdin[2]={-1,-1};//0是读取  1是输入
int pipe2stderr[2]={-1,-1};
pid_t childpid;
pipe(pipe2stdin);
pipe(pipe2stderr);
if ( childpid == 0 ){
    close(pipe2stdin[0]); close(pipe2stderr[0]);
//环境配置
write(pipe2stdin[1],"\x00\x0a\x00\xff",4);
write(pipe2stderr[1],"\x00\x0a\x02\xff",4);//2
else {
            /* Parent process */
close(pipe2stdin[1]); close(pipe2stderr[1]);
dup2(pipe2stdin[0],0); dup2(pipe2stderr[0],2);//相当于read
char *env[2] = {"\xde\xad\xbe\xef=\xca\xfe\xba\xbe", NULL};
execve("/home/input2/input",argv,env); //3
//execve()用来执行参数filename字符串所代表的文件路径，第二个参数是利用指针数组来传递给执行文件，并且需要以空指针(NULL)结束，最后一个参数则为传递给执行文件的新环境变量数组。
}
FILE* fp = fopen("\x0a","w");
fwrite("\x00\x00\x00\x00",4,1,fp);
fclose(fp);//4
需要网络连接
int sockfd;
        struct sockaddr_in server;
        sockfd = socket(AF_INET,SOCK_STREAM,0);//建立socket
        if ( sockfd < 0){//建立socket
            perror("Cannot create the socket");
            exit(1);
        }
        my_addr.sin_family=AF_INET;//该属性表示接收本机或其他机器传输
        my_addr.sin_port=htons(PORT);//端口号
        my_addr.sin_addr.s_addr=htonl(INADDR_ANY);//IP
        if ( connect(sockfd, (struct sockaddr*) &server, sizeof(server)) < 0 ){//绑定地址结构体和socket
            perror("Problem connecting");
            exit(1);
        }
//环境配置
char buf[4] = "\xde\xad\xbe\xef";
write(sockfd,buf,4);
close(sockfd);//5
}