[Toddler's Bottle]-[fd]

第一个题呢，总是传说中的那么简单：

ssh fd@pwnable.kr -p2222

password=guest

连接上去之后，使用ls：看到flag文件：cat flag：发现无法打开，肯定是有了设置不让打开的，注意到旁边有两个不一样的

一个是.c文件，一个是可执行文件，同名哦

打开fd.c源码和执行fd文件，很明显知道我们需要做到：

第一步：argc<2的绕过

第二步：read的理解与使用

第三步：strcmp函数为比较字符串函数，显然要让判断成立，需要有个LETMEWIN字符串

注意底下的printf哦：给了提示，需要学习Linux的文件输入输出

先说说应该怎么调试，很明显，远程登陆服务器的时候没法在别人的机器上动手脚去调试吧

可以把代码复制到自己的机器上来，把所有的中间值全部打印出来，去看调试结果

绕过argc：百度一发，Linux C的argc和argv：发现在执行的时候可以传参数

所以随便来个比如：./fd.c 12345

发现打印出来的len为-1，buf为空

说明绕过argc成功，但是比较出错，需要研究read

再百度一发read：对文件的读入：格式为read(fd,buf,count)。细节都会有

fd为0的时候，stdin（标准输入，从键盘）

fd为1的时候，stdout（标准输出，从屏幕）

fd为2的时候，stderr（标准错误）

猜想：fd为文件路径，那么当fd为0这种特殊值的时候，就是键盘输入了咯

让fd为0很简单：fd=atoi(argv[1])-0x1234

输入0x1234的十进制值：4660即可

然后就真的让我从键盘输入了：LETMEWIN

看到了flag哦

重新来做一遍的时候，发现自己的整体思路也不一样了，先运行程序如图所示：

首先得明白argc和argv是什么意思

这是main的两个参数，argc是一个整数值，代表程序运行时，总共传输了多少个参数，其中第0个为程序本身的

提示需要给argv[1]一个数字，argv[0]是程序本身，那么argv[1]就是运行程序时的第一个参数

下来看程序逻辑

#include <stdio.h>
#include <stdlib.h>
#include <string.h>
char buf[32];
int main(int argc, char* argv[], char* envp[]){
	if(argc<2){
		printf("pass argv[1] a number\n");
		return 0;
	}
	int fd = atoi( argv[1] ) - 0x1234;
	int len = 0;
	len = read(fd, buf, 32);
	if(!strcmp("LETMEWIN\n", buf)){
		printf("good job :)\n");
		system("/bin/cat flag");
		exit(0);
	}
	printf("learn about Linux file IO\n");
	return 0;
}

发现当fd=0时，read函数是从屏幕读取输入，那么先输入0x1234（十进制是4660），再输入LETMEWIN，就看得到flag了