ssh [email protected]
密码:OOXX(上一关拿到的密码)
cat narnia3.c
#include <stdio.h>
#include <sys/types.h>
#include <sys/stat.h>
#include <fcntl.h>
#include <unistd.h>
#include <stdlib.h>
#include <string.h>int main(int argc, char **argv){
int ifd, ofd;
char ofile[16] = "/dev/null";
char ifile[32];
char buf[32];if(argc != 2){
printf("usage, %s file, will send contents of file 2 /dev/null\n",argv[0]);
exit(-1);
}/* open files */
strcpy(ifile, argv[1]);
if((ofd = open(ofile,O_RDWR)) < 0 ){
printf("error opening %s\n", ofile);
exit(-1);
}
if((ifd = open(ifile, O_RDONLY)) < 0 ){
printf("error opening %s\n", ifile);
exit(-1);
}/* copy from file1 to file2 */
read(ifd, buf, sizeof(buf)-1);
write(ofd,buf, sizeof(buf)-1);
printf("copied contents of %s to a safer place... (%s)\n",ifile,ofile);/* close ‘em */
close(ifd);
close(ofd);exit(1);
}
感觉比较有意思的一个利用。
在服务器上用GDB调试一下,注意到中间的这一段,字符串 ifile和ofile 是在一起的.
随便输入一个字符串测试一下,这里输了32个a
ifile 和 ofile 挨在一起, 然后strcpy 又没有对长度进行一个检查,
然后……
我们可以构造一个东西把密码给读出来.(这个思路是参考了其他人的攻略,非原创= =)
下面就来构造 ( 需要2个东西,一个文档,一个软链接)
一个tmp下的文档
一个32个字节的目录 /tmp/ 5个字节 + 27个 u
这个目录下面还要有个 tmp目录, 以及一个软连接
为什么要这样来构造呢?
程序中strcpy ()
让我们可以覆盖文件名, ofile 这个字符串 指向 ifile
后33个字节, 这里我们可以覆盖,然后的字符串结束符被覆盖了,读取的是链接的文件 (通关密码) ,
然后程序把密码输出至ofile, (即tmp 下的文档),这样我们就拿到了密码。
感觉比较神奇……