题解作者:luojh
出题人、验题人、文案设计等:见 Hackergame 2024 幕后工作人员。
-
题目分类:general
-
题目分值:150
A 同学决定让他设计的 Windows 程序更加「国际化」一些,首先要做的就是读写各种语言写下的文件名。于是他放弃 C 语言中的 char
,转而使用宽字符 wchar_t
,显然这是一个国际化的好主意。
经过一番思考,他写出了下面这样的代码,用来读入文件名:
// Read the filename
std::wstring filename;
std::getline(std::wcin, filename);
转换后要怎么打开文件呢?小 A 使用了 C++ 最常见的写法:
// Create the file object and open the file specified
std::wifstream f(filename);
可惜的是,某些版本的 C++ 编译器以及其自带的头文件中,文件名是 char
类型的,因此这并不正确。这时候小 A 灵光一闪,欸🤓👆,我为什么不做一个转换呢?于是:
std::wifstream f((char*)filename);
随便找了一个文件名测试过无误后,小 A 对自己的方案非常自信,大胆的在各个地方复用这段代码。然而,代价是什么呢?
现在你拿到了小 A 程序的一部分,小 A 通过在文件名后面加上一些内容,让你不能读取藏有 flag 的文件。
你需要的就是使用某种输入,读取到文件 theflag
的内容(完整位置是:Z:\theflag
)。
注:为了使得它能在一些系统上正确地运行,我们使用 Docker 作了一些封装,并且使用 WinAPI 来保证行为一致,不过这并不是题目的重点。
题目核心逻辑预览(点击展开)
#include <iostream>
#include <fstream>
#include <cctype>
#include <string>
#include <windows.h>
int main()
{
std::wcout << L"Enter filename. I'll append 'you_cant_get_the_flag' to it:" << std::endl;
// Get the console input and output handles
HANDLE hConsoleInput = GetStdHandle(STD_INPUT_HANDLE);
HANDLE hConsoleOutput = GetStdHandle(STD_OUTPUT_HANDLE);
if (hConsoleInput == INVALID_HANDLE_VALUE || hConsoleOutput == INVALID_HANDLE_VALUE)
{
// Handle error – we can't get input/output handles.
return 1;
}
DWORD mode;
GetConsoleMode(hConsoleInput, &mode);
SetConsoleMode(hConsoleInput, mode | ENABLE_PROCESSED_INPUT);
// Buffer to store the wide character input
char inputBuffer[256] = { 0 };
DWORD charsRead = 0;
// Read the console input (wide characters)
if (!ReadFile(hConsoleInput, inputBuffer, sizeof(inputBuffer), &charsRead, nullptr))
{
// Handle read error
return 2;
}
// Remove the newline character at the end of the input
if (charsRead > 0 && inputBuffer[charsRead - 1] == L'\n')
{
inputBuffer[charsRead - 1] = L'\0'; // Null-terminate the string
charsRead--;
}
// Convert to WIDE chars
wchar_t buf[256] = { 0 };
MultiByteToWideChar(CP_UTF8, 0, inputBuffer, -1, buf, sizeof(buf) / sizeof(wchar_t));
std::wstring filename = buf;
// Haha!
filename += L"you_cant_get_the_flag";
std::wifstream file;
file.open((char*)filename.c_str());
if (file.is_open() == false)
{
std::wcout << L"Failed to open the file!" << std::endl;
return 3;
}
std::wstring flag;
std::getline(file, flag);
std::wcout << L"The flag is: " << flag << L". Congratulations!" << std::endl;
return 0;
}
你可以通过 nc 202.38.93.141 14202
来连接题目,或者点击下面的「打开/下载题目」按钮通过网页终端与远程交互。
如果你不知道
nc
是什么,或者在使用上面的命令时遇到了困难,可以参考我们编写的 萌新入门手册:如何使用 nc/ncat?
Windows 程序的国际化问题,特别是原生 (Native) 程序的国际化问题,一直令许多程序员苦恼。这与 Windows 在发展初期采用了宽窄字符并存(例如不少 API 都有宽字符版本(W
后缀)和 ANSI 版本(A
后缀))的设计方法,以及 Windows 中大量采用 16 位宽字符存储文本内容有关。在将这些 API 与 C++ 程序结合使用的时候不可避免地会遇到字符集之间,以及不同的文本类型之间的转换。在一部分 iostream
的实现中,我们注意到 wfstream
并没有如预期的一样提供 wstring
(即使用 16 位的 wchar_t
的 std::string
类似物)传入文件名的方式。这时候,正确的处理方法是使用宽窄字符集转换的 API 来完成从 wstring
到 string
的转换。这需要先取出 wstring
的原始内容(通过 c_str()
),对原始数据进行转换然后再用转换后的窄字符文本重新创建 string
对象。这一步骤的操作稍有不慎也可能引起例如缓冲区溢出,以及不正确的文本转换(由于部分字符的特殊语义)之类的问题。此时,就有不了解相关原理的人,直接使用强制转换的方式转换不同类型成员的字符指针(题目里面那样)。这种做法是可能带来很大的问题的。
我们首先来讨论题目的构造。本题目要求读取一个路径为 Z:\theflag
的文件。通过下载附件并构建 Docker 容器,您应该可以发现 wider.exe
程序运行时的当前目录 (Current directory) 就是 Z:\
。此时为了读取这个文件,使用 Z:\theflag
或者 theflag
传入 open()
都是可以的。不幸的是,题目在转换完选手的输入后,在字符串的后面加上了一段文字,使其不可能完全等于被读取的文件名。然而,真的是这样吗?我们刚才是从二进制数据的角度去理解这个过程的,现在换成用字符串的角度去理解。已经知道,字符串是 NULL
结尾 (zero-terminated) 的,如果在字符串的中间加入一个 \0
,就可以在字符串层面丢弃后面的内容。尽管我们不能从终端输入 \0
,代码中的宽字符到窄字符的转换为我们提供了帮助。如果我们构造十六进制 uvwx
这样的字符,在将其从宽字符转换为窄字符的过程中,内存布局会是下面这样(注意,系统平台是小端字节序的 (little-endian)):
7 4 3 0 7 4 3 0
+--------+--------+--------+--------+
wchar_t | w x u v |
+--------+--------+--------+--------+
char | w x | u v |
+--------+--------+--------+--------+
按照刚才的想法,我们想要的结果是一个 g\0
这样子的字符作为结束,以此来抛弃后面加上的内容,而这里就应该是 (uv) = \0
,(wx) = g
。这在宽字符中刚好就是字母 g
!这里,我们需要选择 theflag
,而不是 Z:\theflag
,是因为前者是 7 个字符的,加上一个 \0
恰好凑齐了 8 字节,对应 4 个宽字符。
剩下的字符构造起来就简单了。例如我们想要构造前两个字符 th
对应的输入,那么就去找到 t 和 h 的 ASCII 代码,分别是 0x74
和 0x68
,然后根据上面的讨论,需要构造的宽字符就是 0x6874
,去 Unicode 代码表 上找到这个字符,即 桴
。就这样一步一步地转化,可以得到我们的 payload,即 桴晥慬g
。
您可以参考下面的表:
+--------+--------+--------+--------+--------+--------+--------+--------+--------+--------+--------+--------+--------+--------+--------+--------+
wchar_t | 桴 | 晥 | 慬 | g |
+--------+--------+--------+--------+--------+--------+--------+--------+--------+--------+--------+--------+--------+--------+--------+--------+
hex | 7 4 | 6 8 | 6 6 | 6 5 | 6 1 | 6 c | 6 7 | 0 0 |
+--------+--------+--------+--------+--------+--------+--------+--------+--------+--------+--------+--------+--------+--------+--------+--------+
char | t | h | e | f | l | a | g | \0 |
+--------+--------+--------+--------+--------+--------+--------+--------+--------+--------+--------+--------+--------+--------+--------+--------+
@taoky:
之所以要弄成 Windows 程序,是因为 POSIX 的 wchar_t
是 32 位的。
这道题最初始的版本是直接用 C++ std 的,但是在 wine + Linux terminal 下跑输入会变成 UTF-8,所以改成了用 Windows API 读数据。熟悉 Windows API 的同学可能会疑惑为什么不使用 ReadConsoleW()
。这是因为:部署的时候题目程序实际的 I/O 是 socket 而不是 console,如果用 ReadConsoleW
的话,在 wine 下跑会抛出句柄无效的错误。
有人说这个逻辑明显是错误的,可能是因为小 A 拿了个纯中文名测试没问题吧(
另外题目里面的 inputBuffer
,如果里面都没有 0,似乎可能造成 MultiByteToWideChar
之后 buf
也不以 0 结尾的问题。
最后,作为 Linux 用户,我只有一句话:All in UTF-8 不香吗?反正 UTF-16 也没法准确地 O(1) 获取第 n 个字符嘛。
@zzh1996 补充:
在 Python 中执行 b'theflag\x00'.decode('utf-16-le')
即可得到 桴晥慬g
luojh 再补充:
实际上,假设文件名真的是偶数个字符呢?其实也是有办法的。注意到路径中重复的 \
或者 /
会被算作一个,那我们可以把要读取的文件名补全到奇数个字符。例如,.//flag
就是当前目录下的偶数个字符文件名 flag
的奇数个字符的写法。注意 /flag
对于当前目录下的 flag 文件是不正确的,因为这是指根目录下的 flag 文件,因此上面我们用 .
来表示当前目录。