C-read（）返回负数_C_System Calls_Read Write_Ptrace

C-read（）返回负数

C-read（）返回负数,c,system-calls,read-write,ptrace,C,System Calls,Read Write,Ptrace,我试图编写一个简单的程序，使用ptrace（）钩住另一个二进制文件（setuid binary，子进程run it），打开一个“flag”文件并打印其内容。钩子可以工作，我可以使用ptrace命令控制二进制文件。我已经执行了syscall open（），并获得了一个合法的文件描述符（4）我的问题是syscall read（）失败，并返回一个负值bytes，-21。errno设置为0（成功）。这台机器是远程的（32位），我无法在那里安装libexplain库。我在网上搜索了很多，但是没有找

我试图编写一个简单的程序，使用ptrace（）钩住另一个二进制文件（setuid binary，子进程run it），打开一个“flag”文件并打印其内容。钩子可以工作，我可以使用ptrace命令控制二进制文件。我已经执行了syscall open（），并获得了一个合法的文件描述符（4）

我的问题是syscall read（）失败，并返回一个负值bytes，-21。errno设置为0（成功）。这台机器是远程的（32位），我无法在那里安装libexplain库。我在网上搜索了很多，但是没有找到关于read（）syscall的负返回值含义的答案（根据手册页面，它唯一的错误值是-1..）

家长代码：

int run_syscall(pid_t pid, int syscall_number, int first_paramter, int second_parameter, int third_paramter) {
struct user_regs_struct regs = { 0 };
ptrace(PTRACE_GETREGS, pid, 0, &regs);
regs.eip = INT80;
regs.eax = syscall_number;
regs.ebx = first_paramter;
regs.ecx = second_parameter;
regs.edx = third_paramter;
ptrace(PTRACE_SETREGS, pid, 0, &regs);
ptrace(PTRACE_SINGLESTEP, pid, 0, 0);}


// eax = 5 (open), ebx = 'flag' path, ecx = 0, edx = 0
run_syscall(pid, 5, 0x8048200, 0 , 0); 
wait(NULL);
ptrace(PTRACE_GETREGS, pid, 0, &regs);
int flag_fd = regs.eax;                 // success, returns fd = 4
printf("Open syscall worked, flag fd: %d\n", flag_fd);
printf("[*]Syscall was made..\nRegisters values:\nEAX:%08x\nORIG_EAX:%08x\nESP:%08x\nEBP:%08x\nEIP:%08x, should be 0xf7742b59\n\n\n\n\n\n", regs.eax, regs.orig_eax, regs.esp, regs.ebp, regs.eip);
long flag_addr = ptrace(PTRACE_PEEKTEXT, pid, regs.esp + 0x1000 - 8, 0);
long flag = ptrace(PTRACE_PEEKTEXT, pid, flag_addr, 0);
printf("Before read() text: %p\n", flag);

// eax = 3 (read), ebx = opened filedescriptor, ecx = address i want to store the flag content, edx = 1 byte to read
run_syscall(pid, 3, flag_fd, flag_addr, 1); // Read
wait(NULL);
ptrace(PTRACE_GETREGS, pid, 0, &regs);
printf("read %d bytes\n",  regs.eax); // regs.eax = -21 
printf("errno: %d\n", errno); // errno = 0
printf("Description: %s\n", strerror(errno));
flag = ptrace(PTRACE_PEEKTEXT, pid, flag_addr, 0);
printf("After read() text: %p\n", flag); // remains the same

我确保目标地址（flag_addr）位于可写内存区（堆栈）

我还尝试了不同尺寸的读数（edx），以检查对齐是否有问题。不幸的是，错误仍然存在，read（）总是返回-21（即使edx设置为0）

如果有人知道-21的返回值表示什么状态，以及如何修复代码，我将非常高兴

多谢各位

编辑：解决了的。问题是文件名为'flag.txt'，但它是一个目录！当

读取（2）

无法返回

-21

时，读取系统调用可以。换句话说，您忽略了内核和程序之间的一层；libc。请查看以下代码片段：

这很可能意味着系统调用返回错误代码

，可能意味着

EISDIR 21是一个目录

，我认为这至少会从部分问题中受益。

run\u syscall

从何而来？@Gnoom哦，很抱歉，这是不可理解的，我想让代码尽可能少。AddedI已经执行了syscall open（），并获得了一个合法的文件描述符（4）如何知道它是一个“合法的文件描述符”，而不是值？你到底想打开什么？一旦你克服了这些问题，如果你运行的是64位二进制文件，你就会遇到一些严重的64位问题（提示：你不能把指针和

ssize\t

值之类的值塞进一个

int

…）这是一个32位二进制文件（使用-m32编译）。尝试打开setuid文本文件（该子文件运行setuid二进制文件），根据“man open”，正fd表示成功（无法进一步检查，因为读取失败）。虽然编辑不是不适当的，但正确的操作是解决您的问题。非常有趣的是，libc包装器没有完全遵循syscall功能，今天学到了一些新东西。但是，此文件100%不是目录。。。我会继续研究系统调用read@meowi任何将POSIX

read（）

描述为“系统调用”的人都是错误的——它是作为一个函数实现的，就像

fopen（）

这样的“函数”一样。“

fopen（）

是一个函数，

read（）

是一个系统调用”的区别在误导和完全错误之间。不完全遵循系统调用功能吗？这是一种错误的编程方式——根本没有“系统调用功能”。实现可以自由地做任何他们想做的事情。如果你去挖掘，你会发现类似于使用

openat（）

syscall的

open（）

函数的东西。@wkz-OH-WOW很抱歉这个文件是一个目录！！你是真正的国王这是谜题的一部分LOL@meowi乐于助人，请考虑把它标记为一个公认的答案。

#define syscall_cp(...) __syscall_ret(__syscall_cp(__VA_ARGS__))

long __syscall_ret(unsigned long r)
{
    if (r > -4096UL) {
        errno = -r;
        return -1;
    }
    return r;
}

ssize_t read(int fd, void *buf, size_t count)
{
    return syscall_cp(SYS_read, fd, buf, count);
}