首页 > 代码库 > Wargame narnia level 3 (中文攻略)

Wargame narnia level 3 (中文攻略)

ssh narnia3@narnia.labs.overthewire.org

密码:OOXX(上一关拿到的密码)

cat narnia3.c

#include <stdio.h>
#include <sys/types.h>
#include <sys/stat.h>
#include <fcntl.h>
#include <unistd.h>
#include <stdlib.h>
#include <string.h> 

int main(int argc, char **argv){
 
        int  ifd,  ofd;
        char ofile[16] = "/dev/null";
        char ifile[32];
        char buf[32];
 
        if(argc != 2){
                printf("usage, %s file, will send contents of file 2 /dev/null\n",argv[0]);
                exit(-1);
        }
 
        /* open files */
        strcpy(ifile, argv[1]);
        if((ofd = open(ofile,O_RDWR)) < 0 ){
                printf("error opening %s\n", ofile);
                exit(-1);
        }
        if((ifd = open(ifile, O_RDONLY)) < 0 ){
                printf("error opening %s\n", ifile);
                exit(-1);
        }
 
        /* copy from file1 to file2 */
        read(ifd, buf, sizeof(buf)-1);
        write(ofd,buf, sizeof(buf)-1);
        printf("copied contents of %s to a safer place... (%s)\n",ifile,ofile);
 
        /* close ‘em */
        close(ifd);
        close(ofd);
 
        exit(1);
}

 

感觉比较有意思的一个利用。

在服务器上用GDB调试一下,注意到中间的这一段,字符串 ifile和ofile 是在一起的.

image

 

随便输入一个字符串测试一下,这里输了32个a

image

 

image

 

 

ifile 和 ofile 挨在一起, 然后strcpy 又没有对长度进行一个检查, 

然后…… 

我们可以构造一个东西把密码给读出来.(这个思路是参考了其他人的攻略,非原创= =)

 

下面就来构造 ( 需要2个东西,一个文档,一个软链接)

一个tmp下的文档

image

一个32个字节的目录  /tmp/  5个字节 + 27个 u

image

这个目录下面还要有个 tmp目录, 以及一个软连接

image

 

为什么要这样来构造呢?

     程序中strcpy ()   让我们可以覆盖文件名,      ofile 这个字符串  指向   ifile 后33个字节,   这里我们可以覆盖,然后的字符串结束符被覆盖了,读取的是链接的文件 (通关密码) ,   然后程序把密码输出至ofile, (即tmp 下的文档),这样我们就拿到了密码。

image

 

QQ截圖20140606170730

 

感觉比较神奇……