pwnable.kr mistake之write up

先看源代码：

#include 
#include 

#define PW_LEN 10
#define XORKEY 1

void xor(char* s, int len){
    int i;
    for(i=0; i 0)){
        printf("read error\n");
        close(fd);
        return 0;       
    }

    char pw_buf2[PW_LEN+1];
    printf("input password : ");
    scanf("%10s", pw_buf2);

    // xor your input
    xor(pw_buf2, 10);

    if(!strncmp(pw_buf, pw_buf2, PW_LEN)){
        printf("Password OK\n");
        system("/bin/cat flag\n");
    }
    else{
        printf("Wrong Password\n");
    }

    close(fd);
    return 0;
}

补充：

strncmp函数是指定比较size个字符。也就是说，如果字符串s1与s2的前size个字符相同，函数返回值为0。此函数功能即比较字符串str1和str2的前maxlen个字符。如果前maxlen字节完全相等，返回值就=0；在前maxlen字节比较过程中，如果出现str1[n]与str2[n]不等，则依次比较str1和str2的前n位，设i(i< n)为两字符串首次的不同位，则返回（str1[i]-str2[i]）。

分析一下大致思路是输入的passwd前10位要与1异或，结果与pw_buf相同则输出结果。但pw_buf也并没有给出。我们来看代码：

if(fd=open("/home/mistake/password",O_RDONLY,0400) < 0){
        printf("can't open password %d\n", fd);
        return 0;
    }

    printf("do not bruteforce...\n");
    sleep(time(0)%20);

    char pw_buf[PW_LEN+1];
    int len;
    if(!(len=read(fd,pw_buf,PW_LEN) > 0)){
        printf("read error\n");
        close(fd);
        return 0;       
    }

比较优先级：open打开一个文件，任何情况下都不会小于1，所以比较结果为0，即fd等于0，由第一题fd等于0为标准输入，所以 pw_buf是我们输入的，当输入的pw_buf2与1异或后等于pw_buf则输出结果：

图片.png