pwnable.kr - fd

 

문제를 클릭하면 ssh를 접속할 수 있는 명령어가 있으니 복사해서 cmd에서 잘 입력한다. 

비밀번호는 (guest)

 

 

 

호스트에 접속을 하고 파일 목록을 확인하였는데 내가 찾고 싶어 하는 flag가 보인다. 

하지만 flag는 fd_pwn이라는 유저만 열어볼 수 있게 권한이 설정되어 있었음(현재 내 이름은 fd)

 

파일들 중에서 fd에는 setuid가 설정이 되어있기 때문에 어드민 권한으로 프로그램을 실행시키는 게 가능하다. 

마침 fd의 소스 코드로 보이는 fd.c의 내용물을 살펴본다. 

 

fd.c의 내용물을 확인하면 사용자로부터 숫자를 입력 받는데

 

int fd = atoi( argv[1] ) - 0x1234; <-- 그걸 여기에 대입을 해서

len = read(fd, buf, 32); <-- 다시 read 함수에다 건네주어서

 

        if(!strcmp("LETMEWIN\n", buf)){
                printf("good job :)\n");
                system("/bin/cat flag");

조건에 만족하게 되면  플래그를 출력해준다. 

 

이해하고 풀기 위해서는 문제의 이름인 fd(파일 디스크립터)에 대해서 알아둘 필요가 있는데, 

 

ssize_t read(int fd, void *buf, size_t nbyte); <- 여기 read 함수에 첫 번째 인자로 fd 값을 받는데 

사용자로부터 입력을 받기 위해 표준 입력인 0번을 넘겨주어야 한다. 

 

그렇기 때문에 다시 위로 가서

int fd = atoi( argv[1] ) - 0x1234;

여기에는 +0x1234 즉 정수로 변환하면 4660을 입력해야 read 함수로 부터 입력을 받을 수 있다. 

 

 

이렇게 4660을 입력하면 사용자로부터 입력을 기다리는데 여기에다 "LETMEWIN"을 입력하고 엔터(\n)를 쳐준다. 

 

그랬더니 flag의 내용을 출력해줬다. 

 

"mommy! I think I know what a file descriptor is!!"

 

 

 

참고: 

https://minsoftk.tistory.com/40

open, close, read 함수에 대하여