1617,

1/81

해킹잘하고싶다

http://없음

[pwnable.kr] fd

http://www.hackerschool.org/HS_Boards/zboard.php?id=Free_Lectures&no=8588 [복사]

#include <stdio.h>
#include <stdlib.h>
#include <string.h>

char buf[32];

int main(int argc, char* argv[], char* envp[])
{
        if(argc<2){
                printf("pass argv[1] a number\n");
                return 0;
        }
        int fd = atoi( argv[1] ) - 0x1234;
        int len = 0;
        len = read(fd, buf, 32);
        if(!strcmp("LETMEWIN\n", buf)){
                printf("good job :)\n");
                system("/bin/cat flag");
                exit(0);
        }
        printf("learn about Linux file IO\n");
        return 0;
}

서버가 다운되었던 pwnable.kr이 다시 살아났다.
옛날에 풀었던 문제인데 상당히 쉽게 풀이되었던 걸로 기억한다.
공략을 해보자면...

fd@pwnable:~$ ./fd 4660

argv[0]인자는 "./fd"가 되며 argv[1]인자는 "4660"이 된다.
여기서 4660을 입력한 이유를 곰곰히 생각해보자.

atoi(argv[1]) - 0x1234인데...
atoi함수를 man으로 알아보자.

--------------------------------------------------------------------
The atoi() function converts the initial portion of the string
pointed to by nptr to int.  The behavior is the same as

    strtol(nptr, NULL, 10);

except that atoi() does not detect errors.
The atol() and atoll() functions behave the same as atoi(),
except that they convert the initial portion of the string to
their return type of long or long long.

해석

atoi() 함수는 nptr가 가리키는 문자열의 처음 부분을 int 타입으로 변환한다.
이 함수의 동작은 다음과 동일하다.

strtol(nptr, NULL, 10);
다만, atoi()는 오류를 감지하지 않는다는 점이 다르다.

atol()과 atoll() 함수는 atoi()와 동일한 방식으로 동작하지만,
문자열의 처음 부분을 각각 long 또는 long long 타입으로 변환한다.
----------------------------------------------------------------------------------

대충 말하자면 atoi("4660")에서 "4660"은 int형... 그러니깐 정수(숫자)가 아니라
문자열이니 문자열 "4660"을 정수 int형 4660으로 변환을 하는...
0x1234는 16진수이며 이것을 10진수로 변형시 4660이 된다.
즉 4660-4660은 0이 된다.

바로 다다음줄의 read 함수를 man으로 알아보자.

-----------------------------------------------------------------------
SYNOPSIS
       #include <unistd.h>
       ssize_t read(int fd, void buf[.count], size_t count);

DESCRIPTION
       read() attempts to read up to count bytes from file descriptor fd
       into the buffer starting at buf.

       On files that support seeking, the read operation commences at
       the file offset, and the file offset is incremented by the number
       of bytes read.  If the file offset is at or past the end of file,
       no bytes are read, and read() returns zero.

       If count is zero, read() may detect the errors described below.
       In the absence of any errors, or if read() does not check for
       errors, a read() with a count of 0 returns zero and has no other
       effects.

       According to POSIX.1, if count is greater than SSIZE_MAX, the
       result is implementation-defined; see NOTES for the upper limit
       on Linux.

해석

SYNOPSIS

#include <unistd.h>
ssize_t read(int fd, void buf[.count], size_t count);

read() 함수는 파일 디스크립터 fd에서 최대 count 바이트만큼
데이터를 읽어와 buf에 저장하는 함수다.
반환값은 ssize_t 타입으로, 읽은 바이트 수를 나타낸다.
오류가 발생하면 음수를 반환한다.

DESCRIPTION

기본 동작

read()는 fd에서 최대 count 바이트를 읽어와 buf에 저장한다.
읽기를 지원하는 파일의 경우,
읽기는 **파일 오프셋(file offset)**에서 시작하며
읽은 바이트 수만큼 오프셋이 증가한다.
파일 오프셋이 파일 끝에 있거나 파일 끝을 지나 있으면
아무것도 읽지 않고, read()는 0을 반환한다.

count가 0일 때, count가 0이면, read()는 아래에 설명된 오류를 감지할 수 있다.
오류가 없거나 read()가 오류를 확인하지 않는 경우,
count가 0일 때 호출된 read()는 0을 반환하며
다른 효과는 없다.
count가 매우 큰 경우

POSIX.1 표준에 따르면, count가 SSIZE_MAX보다 크면
결과는 구현 정의(implementation-defined)다.
Linux에서 허용되는 최대 값에 대한 정보는 NOTES 섹션을 참고하라.
----------------------------------------------------------------------

좀 어렵게 느껴지는데 read함수의 첫번째 인자는 '파일 디스크립터'를 뜻한다.
필자가 오래전 공부했을 당시 리눅스는 모든 데이터를 '파일'로 간주한다고 배웠다.
윈도우즈에선 파일 디스크립터와 같은 것은 '인스턴스 핸들'이라고 본 것이 기억난다.

파일 디스크립터(file descriptor)는 운영체제에서 파일이나
입출력 장치(예: 파일, 소켓, 파이프 등)를 식별하기 위해 사용하는 정수 값이다.
유닉스 계열 운영체제(Linux 포함)에서 파일 디스크립터는
프로세스가 시스템 리소스에 접근할 때 핵심적으로 사용된다.

그렇다면 read값이 fd가 되고 이 fd변수의 값이 0이다.
(아까 arg[1]인자로 넘긴 문자열은 "4660"이고
4660-4660의 값을 fd 변수로 저장했을테니...)

0이라는 값은 표준입력(stdin)을 의미하고 키보드로 값을 받겠다는 걸 의미한다.
그리고 if조건문으로 strcmp함수에서 "LETMEWIN"이라는 문자열이 입력되면
(정확히 표현하자면 전역변수 buf[32]와 "LETMEWIN"이 일치한다면...)
if문에 진입하여 system함수를 실행하여 /bin/cat flag가 쉘에서 실행되는 것이다.

p.s. 당연하지만 실행파일 fd이 아닌 그냥 cat flag하면
접근이 거부(Permission Denided)된다.
이것인 SetUID와 관련이 있는데

fd@pwnable:~$ ls -al
total 40
drwxr-x---   5 root   fd   4096 Aug 31 16:09 .
drwxr-xr-x 116 root   root 4096 Oct 30  2023 ..
d---------   2 root   root 4096 Jun 12  2014 .bash_history
-r-sr-x---   1 fd_pwn fd   7322 Jun 11  2014 fd
-rw-r--r--   1 root   root  418 Jun 11  2014 fd.c
-r--r-----   1 fd_pwn root   50 Jun 11  2014 flag
-rw-------   1 root   root  128 Oct 26  2016 .gdb_history
dr-xr-xr-x   2 root   root 4096 Dec 19  2016 .irssi
drwxr-xr-x   2 root   root 4096 Oct 23  2016 .pwntools-cache

아래와 같이 fd의 속성을 보면 r-s로 되어있으며 이 's'는 프로그램이 실행될 때
프로세스가 관리자 권한으로 실행이 되는 것을 뜻한다.
자세한 건 해커스쿨 F.T.Z에서 나오니 모르겠다면 한번 F.T.Z를 구축하여 알아보길 바란다.

Always peace...

Hit : 1547 Date : 2024/11/23 12:20