반응형
#Pwnable.kr #blukat #toddler
blukat 문제이다.
// /home/blukat/blukat.c
#include <stdio.h>
#include <string.h>
#include <stdlib.h>
#include <fcntl.h>
char flag[100];
char password[100];
char* key = "3\rG[S/%\x1c\x1d#0?\rIS\x0f\x1c\x1d\x18;,4\x1b\x00\x1bp;5\x0b\x1b\x08\x45+";
void calc_flag(char* s){
int i;
for(i=0; i<strlen(s); i++){
flag[i] = s[i] ^ key[i];
}
printf("%s\n", flag);
}
int main(){
FILE* fp = fopen("/home/blukat/password", "r");
fgets(password, 100, fp);
char buf[100];
printf("guess the password!\n");
fgets(buf, 128, stdin);
if(!strcmp(password, buf)){
printf("congrats! here is your flag: ");
calc_flag(password);
}
else{
printf("wrong guess!\n");
exit(0);
}
return 0;
}소스를 보자마자 알 수 있었던 것은
FILE* fp = fopen("/home/blukat/password", "r");
fgets(password, 100, fp);"이 부분에서 읽어오는 password 를 그냥 디버깅해서 찾으면 되겠네~" 였다.
일단 무지성인 상태로 생각없이 진행했는데, 디버깅해서 읽어온 password 가 위와 같다는 것을 알았다.
그대로 payload 짜서 보내보니 플래그가 나왔다... (???)
from pwn import *
s=process("/home/blukat/blukat")
s.sendline("cat: password: Permission denied\n")
s.interactive()
풀고나서 왜그런지 복기해보았는데 분명히 password 파일은 위와 같이 blukat_pwn 가 그룹권한자로 되어있었다.
현재 사용자인 blukat 으로는 읽을 수 없을텐데 했는데...
위와 같이 내 그룹이 blukat_pwn 에 들어가있어서 디버깅 과정에서도 password 를 읽을 수 있었던 것이었다.
그렇다.
반응형
'<Wargame & CTF> > Pwnable.kr' 카테고리의 다른 글
| [Pwnable.kr] brainfuck (0) | 2021.05.30 |
|---|---|
| [Pwnable.kr] horcruxes (0) | 2021.05.30 |
| [Pwnable.kr] asm (0) | 2021.05.29 |
| [Pwnable.kr] memcpy (0) | 2021.05.29 |
| [Pwnable.kr] Unlink (0) | 2020.09.22 |