zoukankan      html  css  js  c++  java
  • 【pwnable.kr】cmd2

    这道题是上一个cmd1的升级版

    ssh cmd2@pwnable.kr -p2222 (pw:mommy now I get what PATH environmentis for :))

    登录之后,还是审计一下源代码:

    #include <stdio.h>
    #include <string.h>
    
    int filter(char* cmd){
        int r=0;
        r += strstr(cmd, "=")!=0;
        r += strstr(cmd, "PATH")!=0;
        r += strstr(cmd, "export")!=0;
        r += strstr(cmd, "/")!=0;
        r += strstr(cmd, "`")!=0;
        r += strstr(cmd, "flag")!=0;
        return r;
    }
    
    extern char** environ;
    void delete_env(){
        char** p;
        for(p=environ; *p; p++)    memset(*p, 0, strlen(*p));
    }
    
    int main(int argc, char* argv[], char** envp){
        delete_env();
        putenv("PATH=/no_command_execution_until_you_become_a_hacker");
        if(filter(argv[1])) return 0;
        printf("%s
    ", argv[1]);
        system( argv[1] );
        return 0;
    }

    可以看到,比上一次的命令过滤要严格,过滤了“/”,这样一来,上一次的payload就不能用了。

    但是可以想办法构造上一次的payload。—— /tmp/p4nda

    仔细看来,只有/被过滤了,其他的都可以保持不变。而通过尝试,发现system函数可以执行pwd命令

    可以想到,是否可以通过pwd构造/呢?

    在linux文件目录下 / 代表根目录,这样cd /之后,再次执行pwd就是/了。

    因此,同样构造上次的/tmp目录下p4nda文件,内容为“/bin/cat /home/cmd2/flag”

    并且利用$()来拼接/tmp/目录

    具体可以用$(pwd)tmp$(pwd)p4nda 

    当输入到程序中,并没有执行

    原因是在调用时,系统自动就把$(pwd)转换成了/

    这时想到用单引号',来绕过这种修改,

    /home/cmd2/cmd2 '$(pwd)tmp$(pwd)p4nda'

     flag:

     

  • 相关阅读:
    2. Redis哨兵、复制、集群的设计原理与区别
    1. 详解Redis的存储类型、集群架构、以及应用场景
    博客园主题优化
    【Java基础】Java面试题精选
    【Java集合】——集合类分析总结
    新零售供应链的三大闭环
    Comparable和Comparator比较实现排序 场景分析
    Java基础-枚举类
    Java基础-泛型
    微服务架构~BFF和网关
  • 原文地址:https://www.cnblogs.com/p4nda/p/7147552.html
Copyright © 2011-2022 走看看