标签:style class blog code java http
ssh narnia3@narnia.labs.overthewire.org
密码:OOXX(上一关拿到的密码)
cat narnia3.c
#include <stdio.h> #include <sys/types.h> #include <sys/stat.h> #include <fcntl.h> #include <unistd.h> #include <stdlib.h> #include <string.h> int main(int argc, char **argv){ int ifd, ofd; char ofile[16] = "/dev/null"; char ifile[32]; char buf[32]; if(argc != 2){ printf("usage, %s file, will send contents of file 2 /dev/null\n",argv[0]); exit(-1); } /* open files */ strcpy(ifile, argv[1]); if((ofd = open(ofile,O_RDWR)) < 0 ){ printf("error opening %s\n", ofile); exit(-1); } if((ifd = open(ifile, O_RDONLY)) < 0 ){ printf("error opening %s\n", ifile); exit(-1); } /* copy from file1 to file2 */ read(ifd, buf, sizeof(buf)-1); write(ofd,buf, sizeof(buf)-1); printf("copied contents of %s to a safer place... (%s)\n",ifile,ofile); /* close ‘em */ close(ifd); close(ofd); exit(1); }
感觉比较有意思的一个利用。
在服务器上用GDB调试一下,注意到中间的这一段,字符串 ifile和ofile 是在一起的.
随便输入一个字符串测试一下,这里输了32个a
ifile 和 ofile 挨在一起, 然后strcpy 又没有对长度进行一个检查,
然后……
我们可以构造一个东西把密码给读出来.(这个思路是参考了其他人的攻略,非原创= =)
下面就来构造 ( 需要2个东西,一个文档,一个软链接)
一个tmp下的文档
一个32个字节的目录 /tmp/ 5个字节 + 27个 u
这个目录下面还要有个 tmp目录, 以及一个软连接
为什么要这样来构造呢?
程序中strcpy () 让我们可以覆盖文件名, ofile 这个字符串 指向 ifile 后33个字节, 这里我们可以覆盖,然后的字符串结束符被覆盖了,读取的是链接的文件 (通关密码) , 然后程序把密码输出至ofile, (即tmp 下的文档),这样我们就拿到了密码。
感觉比较神奇……
Wargame narnia level 3 (中文攻略),布布扣,bubuko.com
标签:style class blog code java http
原文地址:http://www.cnblogs.com/wu-yan/p/3772995.html
