Linux捕獲標誌編程難題

Question

我在linux中很新（只知道基本的東西）。我正試圖在Linux虛擬機中完成Capture-the-flag（CTF）風格挑戰。所以基本上我有一個C程序文件和一個標誌。我無權訪問國旗。我可以讀取程序文件並運行它。這個C代碼：

#include <stdio.h> 
    #include <stdlib.h> 
    #include <string.h> 

    void check() { 

    int invalid; 
    if (invalid) { 
    printf ("Password invalid!\n"); 

    } 

    else{ 
    printf ("Password accepted!\n"); 
    system ("/bin/cat flag3"); 
    } 
    } 
    void password() { 

    char password [200]; 
    printf ("Enter the password: "); 
    scanf ("%s" , password); 
    } 

    int main() { 
    password(); 
    check(); 
    return 0; 
    } 

我試圖調試它，並觀察彙編內容，但我不明白如何才能知道標誌內容捕獲密碼。我試圖破解密碼從這個鏈接獲取幫助，http://eliteinformatiker.de/2012/11/16/howto-crack-a-small-c-program-with-assembler但我不知道如果我可以編輯C程序的二進制文件或不是因爲在給定的權限的C文件，我只能讀它不寫在它。所以我認爲如果我不能修改一個c文件，我該如何修改它的二進制文件（也許我錯了）。在這一點上，我有點卡住，我試圖調試它，查看程序集內容，但我不知道我是否可以編輯二進制或不。我不知道採取什麼方法來捕獲國旗？

Answer 1

看起來像這需要緩衝區溢出腐敗。輸入超過200個字符的密碼，它會從其默認的零值中破壞無效？

Answer 2

免責聲明：我使用Ubuntu-12.04和gcc-4.8.-2和gdb-7.7.1調試器。

我在調試器下執行程序，直到我輸入了check並單步到了if。然後我拆解的代碼，並期待在大會：

(gdb) disass 
Dump of assembler code for function check: 
    0x000000000040062d <+0>: push %rbp 
    0x000000000040062e <+1>: mov %rsp,%rbp 
    0x0000000000400631 <+4>: sub $0x10,%rsp 
=> 0x0000000000400635 <+8>: cmpl $0x0,-0x4(%rbp) 
    0x0000000000400639 <+12>: je  0x400647 <check+26> 
    0x000000000040063b <+14>: mov $0x400754,%edi 
    0x0000000000400640 <+19>: callq 0x4004e0 <puts@plt> 
    0x0000000000400645 <+24>: jmp 0x400651 <check+36> 
    0x0000000000400647 <+26>: mov $0x400766,%edi 
    0x000000000040064c <+31>: callq 0x4004e0 <puts@plt> 
    0x0000000000400651 <+36>: leaveq 

而且我看了一下我的寄存器（只顯示了重要的）值：

(gdb) info reg 
    rbp   0x7fffffffdf00 0x7fffffffdf00 
    rsp   0x7fffffffdef0 0x7fffffffdef0 
    rip   0x400635 0x400635 <check+8> 
    eflags   0x206 [ PF IF ] 

接下來，我單論指令(gdb) ni踩反覆拆卸和獲得的eflags值：

(gdb) disass 
Dump of assembler code for function check: 
    0x000000000040062d <+0>: push %rbp 
    0x000000000040062e <+1>: mov %rsp,%rbp 
    0x0000000000400631 <+4>: sub $0x10,%rsp 
    0x0000000000400635 <+8>: cmpl $0x0,-0x4(%rbp) 
=> 0x0000000000400639 <+12>: je  0x400647 <check+26> 
    0x000000000040063b <+14>: mov $0x400754,%edi 
    0x0000000000400640 <+19>: callq 0x4004e0 <puts@plt> 
    0x0000000000400645 <+24>: jmp 0x400651 <check+36> 
    0x0000000000400647 <+26>: mov $0x400766,%edi 
    0x000000000040064c <+31>: callq 0x4004e0 <puts@plt> 
    0x0000000000400651 <+36>: leaveq 
    0x0000000000400652 <+37>: retq 
End of assembler dump. 
(gdb) info reg 
eflags   0x206 [ PF IF ] 

回想一下，cmp的工作方式是SIMU根據需要設置相應的減法，這就是je然後使用的。所以這段代碼將執行從0減去-0x4（％rpb）（設置零標誌爲approprate）。如果數字相同，jz將跳轉。

所以我改性用命令序列標誌寄存器：

(gdb) set $ZF = 6 
(gdb) set $eflags |= (1 << $ZF) 
(gdb) print $eflags 
$1 = [ PF ZF IF ] 

注意，零標誌現在設置。單指令集（ni），並採取看看拆解：

(gdb) ni 
(gdb) disass 
Dump of assembler code for function check: 
    0x000000000040062d <+0>: push %rbp 
    0x000000000040062e <+1>: mov %rsp,%rbp 
    0x0000000000400631 <+4>: sub $0x10,%rsp 
    0x0000000000400635 <+8>: cmpl $0x0,-0x4(%rbp) 
    0x0000000000400639 <+12>: je  0x400647 <check+26> 
    0x000000000040063b <+14>: mov $0x400754,%edi 
    0x0000000000400640 <+19>: callq 0x4004e0 <puts@plt> 
    0x0000000000400645 <+24>: jmp 0x400651 <check+36> 
=> 0x0000000000400647 <+26>: mov $0x400766,%edi 
    0x000000000040064c <+31>: callq 0x4004e0 <puts@plt> 
    0x0000000000400651 <+36>: leaveq 
    0x0000000000400652 <+37>: retq 
End of assembler dump. 

這是在別的塊，你應該得到顯示的標誌。 （請注意在我的測試程序中，我註釋掉了該標誌）。