pwnable.kr [Toddler's Bottle] - mistake

We all make mistakes, let's move on.
(don't take this too seriously, no fancy hacking skill is required at all)

This task is based on real event
Thanks to dhmonkey

hint : operator priority

ssh mistake@pwnable.kr -p2222 (pw:guest)

考查C語言基本功和細(xì)心程度榨咐。
先放源碼：

#include <stdio.h>
#include <fcntl.h>

#define PW_LEN 10
#define XORKEY 1

void xor(char* s, int len){
    int i;
    for(i=0; i<len; i++){
        s[i] ^= XORKEY;
    }
}

int main(int argc, char* argv[]){
    
    int fd;
    if(fd=open("/home/mistake/password",O_RDONLY,0400) < 0){
        printf("can't open password %d\n", fd);
        return 0;
    }

    printf("do not bruteforce...\n");
    sleep(time(0)%20);

    char pw_buf[PW_LEN+1];
    int len;
    if(!(len=read(fd,pw_buf,PW_LEN) > 0)){
        printf("read error\n");
        close(fd);
        return 0;       
    }

    char pw_buf2[PW_LEN+1];
    printf("input password : ");
    scanf("%10s", pw_buf2);

    // xor your input
    xor(pw_buf2, 10);

    if(!strncmp(pw_buf, pw_buf2, PW_LEN)){
        printf("Password OK\n");
        system("/bin/cat flag\n");
    }
    else{
        printf("Wrong Password\n");
    }

    close(fd);
    return 0;
}

問題就出在 if(fd=open("/home/mistake/password",O_RDONLY,0400) < 0) 這里，由于fd=open()外沒有括號酸舍，而 < 的優(yōu)先級高于 = 宛裕，于是先執(zhí)行 open() 函數(shù)吁朦，再比較和0的大小，最后賦值給fd。

當(dāng) open 成功時(shí)返回一個(gè)正數(shù)怠惶，這里的判斷邏輯就變成了正數(shù) < 0耀态，返回false轮傍，也就是0。所以最后賦給 fd 的值為0首装，也就變成了stdin创夜。

連續(xù)輸入兩個(gè)10byte的密碼就行了，一個(gè)每一位和 1 亦或仙逻，比如可以輸入00000000001111111111....（慚愧挥下，筆者一開始還以為是棧溢出，沒有看到少了括號桨醋，也沒看到 "%10s" 棚瘟，陰差陽錯(cuò)地輸入了這條字串還給我跑出了flag。直到去琢磨了一下“operator priority”和“do not bruteforce”喜最，仔細(xì)看了好久才發(fā)現(xiàn) - - ）
結(jié)果如下：

mistake@ubuntu:~$ ./mistake
do not bruteforce...
00000000001111111111
input password : Password OK
Mommy, the operator priority always confuses me :(

最后編輯于：2017.12.08 03:41:53

?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者

人面猴
序言：七十年代末偎蘸，一起剝皮案震驚了整個(gè)濱河市，隨后出現(xiàn)的幾起案子，更是在濱河造成了極大的恐慌迷雪，老刑警劉巖限书，帶你破解...
沈念sama閱讀 219,039評論 6贊 508
死咒
序言：濱河連續(xù)發(fā)生了三起死亡事件，死亡現(xiàn)場離奇詭異章咧，居然都是意外死亡倦西，警方通過查閱死者的電腦和手機(jī)，發(fā)現(xiàn)死者居然都...
沈念sama閱讀 93,426評論 3贊 395
救了他兩次的神仙讓他今天三更去死
文/潘曉璐我一進(jìn)店門赁严，熙熙樓的掌柜王于貴愁眉苦臉地迎上來扰柠，“玉大人，你說我怎么就攤上這事疼约÷钡担” “怎么了？”我有些...
開封第一講書人閱讀 165,417評論 0贊 356
道士緝兇錄：失蹤的賣姜人
文/不壞的土叔我叫張陵程剥，是天一觀的道長劝枣。經(jīng)常有香客問我，道長织鲸，這世上最難降的妖魔是什么舔腾？我笑而不...
開封第一講書人閱讀 58,868評論 1贊 295
?港島之戀（遺憾婚禮）
正文為了忘掉前任，我火速辦了婚禮搂擦，結(jié)果婚禮上琢唾，老公的妹妹穿的比我還像新娘。我一直安慰自己盾饮，他們只是感情好采桃，可當(dāng)我...
茶點(diǎn)故事閱讀 67,892評論 6贊 392
惡毒庶女頂嫁案：這布局不是一般人想出來的
文/花漫我一把揭開白布。她就那樣靜靜地躺著丘损，像睡著了一般普办。火紅的嫁衣襯著肌膚如雪。梳的紋絲不亂的頭發(fā)上徘钥，一...
開封第一講書人閱讀 51,692評論 1贊 305
城市分裂傳說
那天衔蹲，我揣著相機(jī)與錄音，去河邊找鬼呈础。笑死舆驶，一個(gè)胖子當(dāng)著我的面吹牛，可吹牛的內(nèi)容都是我干的而钞。我是一名探鬼主播沙廉，決...
沈念sama閱讀 40,416評論 3贊 419
雙鴛鴦連環(huán)套：你想象不到人心有多黑
文/蒼蘭香墨我猛地睜開眼，長吁一口氣：“原來是場噩夢啊……” “哼臼节！你這毒婦竟也來了撬陵？” 一聲冷哼從身側(cè)響起珊皿，我...
開封第一講書人閱讀 39,326評論 0贊 276
萬榮殺人案實(shí)錄
序言：老撾萬榮一對情侶失蹤，失蹤者是張志新（化名）和其女友劉穎巨税，沒想到半個(gè)月后蟋定，有當(dāng)?shù)厝嗽跇淞掷锇l(fā)現(xiàn)了一具尸體，經(jīng)...
沈念sama閱讀 45,782評論 1贊 316
?護(hù)林員之死
正文獨(dú)居荒郊野嶺守林人離奇死亡草添，尸身上長有42處帶血的膿包…… 初始之章·張勛以下內(nèi)容為張勛視角年9月15日...
茶點(diǎn)故事閱讀 37,957評論 3贊 337
?白月光啟示錄
正文我和宋清朗相戀三年驶兜，在試婚紗的時(shí)候發(fā)現(xiàn)自己被綠了。大學(xué)時(shí)的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片远寸。...
茶點(diǎn)故事閱讀 40,102評論 1贊 350
活死人
序言：一個(gè)原本活蹦亂跳的男人離奇死亡抄淑，死狀恐怖，靈堂內(nèi)的尸體忽然破棺而出而晒，到底是詐尸還是另有隱情，我是刑警寧澤阅畴，帶...
沈念sama閱讀 35,790評論 5贊 346
?日本核電站爆炸內(nèi)幕
正文年R本政府宣布倡怎，位于F島的核電站，受9級特大地震影響贱枣，放射性物質(zhì)發(fā)生泄漏监署。R本人自食惡果不足惜，卻給世界環(huán)境...
茶點(diǎn)故事閱讀 41,442評論 3贊 331
男人毒藥：我在死后第九天來索命
文/蒙蒙一纽哥、第九天我趴在偏房一處隱蔽的房頂上張望钠乏。院中可真熱鬧，春花似錦春塌、人聲如沸晓避。這莊子的主人今日做“春日...
開封第一講書人閱讀 31,996評論 0贊 22
一樁弒父案只壳，背后竟有這般陰謀
文/蒼蘭香墨我抬頭看了看天上的太陽俏拱。三九已至，卻和暖如春吼句，著一層夾襖步出監(jiān)牢的瞬間锅必，已是汗流浹背。一陣腳步聲響...
開封第一講書人閱讀 33,113評論 1贊 272
情欲美人皮
我被黑心中介騙來泰國打工惕艳，沒想到剛下飛機(jī)就差點(diǎn)兒被人妖公主榨干…… 1. 我叫王不留搞隐，地道東北人。一個(gè)月前我還...
沈念sama閱讀 48,332評論 3贊 373
代替公主和親
正文我出身青樓远搪，卻偏偏與公主長得像劣纲，于是被迫代替她去往敵國和親。傳聞我的和親對象是個(gè)殘疾皇子谁鳍，可洞房花燭夜當(dāng)晚...
茶點(diǎn)故事閱讀 45,044評論 2贊 355

pwnable.kr [Toddler's Bottle] - mistake

推薦閱讀更多精彩內(nèi)容