Linux捕获旗帜编程难题

时间:2017-02-12 21:50:26

标签: c linux binary virtual-machine disassembly

我是linux的新手(只知道基本的东西)。我试图在linux虚拟机中完成Capture-the-flag(CTF)样式挑战。所以基本上我有一个C程序文件和一个标志。我无法获得旗帜。我可以读取程序文件并运行它。这是C代码:

    #include <stdio.h>
    #include <stdlib.h>
    #include <string.h>

    void check () {

    int invalid;
    if (invalid) {
    printf ("Password invalid!\n");

    }

    else{
    printf ("Password accepted!\n");
    system ("/bin/cat flag3");
    }
    }
    void password() {

    char password [200];
    printf ("Enter the password: ");
    scanf ("%s" , password);
    }

    int main () {
    password ();
    check();
    return 0;
    }

我已经尝试过调试它并查看汇编程序内容,但我无法理解如何捕获密码以了解标记的内容。我试图破解密码,从这个链接获取帮助,http://eliteinformatiker.de/2012/11/16/howto-crack-a-small-c-program-with-assembler但我不确定我是否可以编辑C程序的二进制文件,因为在c文件的给定权限中我只能读取它写在里面。所以我想如果我不能修改一个c文件我怎么能修改它的二进制文件(也许我错了)。在这一点上,我有点卡住我已经尝试调试它,查看程序集内容,但我不确定我是否可以编辑二进制文件。我不知道采取什么方法来捕获标志?

2 个答案:

答案 0 :(得分:0)

免责声明:我使用的是Ubuntu-12.04和gcc-4.8.-2以及gdb-7.7.1调试器。

我在调试器下执行了程序,直到我输入SELECT并单步执行if。然后我反汇编代码并查看了程序集:

check

我查看了寄存器的值(只显示了重要的值):

(gdb) disass
Dump of assembler code for function check:
   0x000000000040062d <+0>: push   %rbp
   0x000000000040062e <+1>: mov    %rsp,%rbp
   0x0000000000400631 <+4>: sub    $0x10,%rsp
=> 0x0000000000400635 <+8>: cmpl   $0x0,-0x4(%rbp)
   0x0000000000400639 <+12>:    je     0x400647 <check+26>
   0x000000000040063b <+14>:    mov    $0x400754,%edi
   0x0000000000400640 <+19>:    callq  0x4004e0 <puts@plt>
   0x0000000000400645 <+24>:    jmp    0x400651 <check+36>
   0x0000000000400647 <+26>:    mov    $0x400766,%edi
   0x000000000040064c <+31>:    callq  0x4004e0 <puts@plt>
   0x0000000000400651 <+36>:    leaveq

接下来,我单步执行指令(gdb) info reg rbp 0x7fffffffdf00 0x7fffffffdf00 rsp 0x7fffffffdef0 0x7fffffffdef0 rip 0x400635 0x400635 <check+8> eflags 0x206 [ PF IF ] 并重复反汇编并获取(gdb) ni的值:

eflags

回想一下(gdb) disass Dump of assembler code for function check: 0x000000000040062d <+0>: push %rbp 0x000000000040062e <+1>: mov %rsp,%rbp 0x0000000000400631 <+4>: sub $0x10,%rsp 0x0000000000400635 <+8>: cmpl $0x0,-0x4(%rbp) => 0x0000000000400639 <+12>: je 0x400647 <check+26> 0x000000000040063b <+14>: mov $0x400754,%edi 0x0000000000400640 <+19>: callq 0x4004e0 <puts@plt> 0x0000000000400645 <+24>: jmp 0x400651 <check+36> 0x0000000000400647 <+26>: mov $0x400766,%edi 0x000000000040064c <+31>: callq 0x4004e0 <puts@plt> 0x0000000000400651 <+36>: leaveq 0x0000000000400652 <+37>: retq End of assembler dump. (gdb) info reg eflags 0x206 [ PF IF ] 的工作方式是模拟减法设置适当的标志,这是cmp然后使用的。因此,此代码将从0开始减去-0x4(%rpb)(将零标志设置为适当)。如果数字相同,jz将跳转。

所以我用命令序列修改了标志寄存器:

je

请注意,现在已设置零标志。单个指令集((gdb) set $ZF = 6 (gdb) set $eflags |= (1 << $ZF) (gdb) print $eflags $1 = [ PF ZF IF ] )并查看反汇编:

ni

哪个在else块中,你应该显示标志。 (注意,在我的测试程序中,我注释掉了标记的行)。

答案 1 :(得分:-1)

看起来这需要缓冲区溢出损坏。输入超过200个字符的密码,它会破坏其默认零值无效吗?

相关问题
最新问题