pwnable.kr-cmd2 WP

最新推荐文章于 2020-08-16 14:07:59 发布
最新推荐文章于 2020-08-16 14:07:59 发布
阅读量245 收藏
点赞数
分类专栏: pwn学习 文章标签: pwnable.kr cmd2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Casuall/article/details/90813951
版权

这道题的ssh密码是上一道题的flag,mommy now I get what PATH environment is for :) ,我这里给出一下,省的还得再去找。

看一下源码

#include <stdio.h>
#include <string.h>

int filter(char* cmd){
	int r=0;
	r += strstr(cmd, "=")!=0;
	r += strstr(cmd, "PATH")!=0;
	r += strstr(cmd, "export")!=0;
	r += strstr(cmd, "/")!=0;
	r += strstr(cmd, "`")!=0;
	r += strstr(cmd, "flag")!=0;
	return r;
}

extern char** environ;
void delete_env(){
	char** p;
	for(p=environ; *p; p++)	memset(*p, 0, strlen(*p));
}

int main(int argc, char* argv[], char** envp){
	delete_env();
	putenv("PATH=/no_command_execution_until_you_become_a_hacker");
	if(filter(argv[1])) return 0;
	printf("%s\n", argv[1]);
	system( argv[1] );
	return 0;
}

这个题和之前的cmd1那道题很像,也是将环境变量给更改了,然后将你传进去的参数当成命令执行,不过这次好像过滤更加严格了,参数中不能包含"="、 “PATH”、 “export”、 “/” 、 “`” 、 “flag”。

没有PATH变量,所以我们的命令必须绝对路径,而filter函数过滤了“/”,所以需要想办法绕过他。

我们尝试用echo去绕过‘/’,下图是echo函数的说明,加上“-e” 能够启用反斜杠转义的解释作用。

cmd0.png

再查看ascii码,“/”的ascii码用16进制表示是2F

cmd1.png

我们利用echo -e "\X2f"输出”/“

cmd2.png

但是利用cmd2的程序测试,发现并没有得到想要的效果

cmd3.png

源码中利用的是system()函数执行你传入的命令,我们看一下system函数的说明

cmd4.png

system()会调用fork()产生子进程,由子进程来调用/bin/sh -c string来执行参数string字符串所代表的命令,此命令执行完后随即返回原调用的进程。

我们利用man sh查看一下,然后利用/echo搜索关于echo的说明,如果以\0digits的形式,则输出值由0到3位八进制数字给出的字符。从上面ascii码上可以看到”/“的八进制为057

cmd5.png

可以看到得到了想要的结果,"/"。

cmd6.png

然后继续尝试

cmd7.png

反馈结果的第一行是传进去的参数,第二行是通过system执行参数命令返回的结果。第二个为什么会出现传进去的是\057bin\057cat cmd2.c?

bash中,$( )与` `(反引号)都是用来作命令替换的。所以$()里面的命令先得到了执行,输出\057bin\057cat,这里没有转换为"/"的原因是,此处执行的是程序库中的函数echo,而不是sh中的echo,二者是有差别的,前面已经有关于两个函数说明的截图了。

$()前面加个转义符号"\",表示输入的是一个字符串,然后再让system执行这个字符串。

测试成功后,就可以去解题了,创建一个目录,创建一个软连接,执行刚才测试好的结果。

cmd8.png

Casuall
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Reversing.kr--crackme200.rar
09-30
Reversing.kr--crackme200.rar
mirror.enha.kr-crx插件
04-04
在enhawiki镜像中搜索关键字(http://mirror.enha.kr)! v1.21 可以在黑暗屏幕上查看的单独选项 ...
dark.enha.kr-crx插件
04-04
语言:한국어 在elecawiki(暗)镜像中搜索关键字(http://dark.enha.kr)! v1.0 释放
pwntools的简单使用
Casuall的博客
09-20 8629
pwntools是一个CTF框架和漏洞利用开发库,用Python开发,旨在让使用者简单快速的编写exploit。 这里简单的介绍一下pwntools的使用。 首先就是导入包 from pwn import * 你将在全局空间里引用pwntools的所有函数。现在可以用一些简单函数进行汇编,反汇编,pack,unpack等等操作。 将包导入后,我一般都会设置日志记录级别,方便出现问题的时候排查错误...
pwnable.kr-bof WP
Casuall的博客
03-24 5408
pwnable.kr-bof   这道题是一个简单的缓冲器溢出的题,首先要做这道题要对函数调用栈有一定的了解。 函数调用栈是指程序运行时内存一段连续的区域,用来保存函数运行时的状态信息,包括函数参数与局部变量等。称之为“栈”是因为发生函数调用时,调用函数(caller)的状态被保存在栈内,被调用函数(callee)的状态被压入调用栈的栈顶;在函数调用结束时,栈顶的函数(callee)状态被弹出,栈...
Bugku-pwn4详解
Casuall的博客
07-14 4419
这道题来自bugku的第三道pwn题,pwn4。首先进行一些常规检查。 一个64位动态链接的程序,没有开什么保护。 然后用IDA打开,有个危险函数read,可以用来溢出。 shift + F12查看有没有可疑字符串,然后在字符串上按x查看引用他的地方,找到了一个system函数 但是system函数里面的字符串并不是我们想要的'/bin/sh',尝试用ROPgadget去搜索,命令为ROPg...
BugKu - pwn2
Casuall的博客
07-06 3676
这道题来自于bugku旧平台的第二道pwn题,还是比较简单的,一个典型的缓冲区溢出题。 首先查看一下文件类型,file pwn2,可以看到是64位的程序。然后用64位IDA打开,查看程序的逻辑。 可以看到这个程序的逻辑比较简单,有一个read函数,这个函数一个危险函数,可能引发缓冲区溢出漏洞。常见的危险函数还有gets、strcpy、sprintf、scanf等。 然后查看字符串,看看是否有内置...
攻防世界 Mary_Morto WP 三种解法
Casuall的博客
08-16 1601
Mary_Morto保护措施简介解题思路方法一:方法二:方法三: 来自于ASIS-CTF-Finals-2017的一道题,网上的wp都千篇一律,这里记录一下我的一些思路。 首先这道题可以从好几种方向去解,我这里介绍三种解法。 首先我们查看一下程序的保护措施,发现开启了Stack Canary和NX,RELRO和PIE没有开启。然后运行一下,提示选择我们的武器,第一个是栈溢出漏洞,第二个是格式化字符串漏洞,说明本题应该可以利用这个两个漏洞去解决问题。 保护措施简介 我们先简单的回顾一下这些保护措施是做什么用
攻防世界xctf-实时数据监测 wp
Casuall的博客
08-14 1283
本题是一个简单的格式化字符串漏洞的利用。先查看一些文件的信息,32位的程序,保护措施没有开。 用IDA查看一些伪代码,发现main函数里面只有一个locker函数,locker函数首先接受了一个字符串s,然后调用imagemagic函数,这个函数跟进去查看其实就是一个printf函数,最后比较key的值是不是为0x2223322,如果相等,返回shell,否则打印key的地址和值。 我们在本地运行一下看看,由于直接把key的地址告诉你了,所以本题的思路是找到格式化字符串地址的偏移,然后覆盖key的值。格
攻防世界 string WP
Casuall的博客
07-28 1267
检查文件类型(file命令),检查安全措施(checksec命令)就不多说了,只有PIE没有开。 首先查看一下main函数,有一个sub_400996函数,这个函数就是负责打印一些信息。然后通过malloc申请了8个字节大小的内存,返回的指针为v3,将v3的值(指针的值为地址)存入v4,实际上v3和v4都指向了刚才申请的那块内存。然后赋值,将前四个字节赋值为68,后四个字节赋值为85。后面通过printf打印了v4和v4+4的值,其实就是68和85的地址。 下面有个sub_400D72(v4)函数,将v4
exploit-exercises Protostar Stack Walkthrough
Casuall的博客
08-03 1064
做了一组关于栈溢出的练习,题目来源exploit-exercises,提供一个虚拟机镜像,可以下载下来自己耍耍。 StackStack0AboutSource codeEXPStack1AboutSource codeEXPStack2AboutSource codeEXPStack3AboutSource codeEXPStack4AboutSource codeEXPStack5AboutSource codeStack6AboutSource codeStack7AboutSource codeexp
exploit-exercises Protostar Heap Walkthrough
Casuall的博客
08-09 837
HeapProtostar Heap0AboutSource codeProtostar heap1AboutSource codeexpProtostar heap2AboutSource codeProtostar Heap3AboutSource codeexp 题目来源exploit-exercises Protostar Heap0 About This level introduces heap overflows and how they can influence code flow. Th
攻防世界 CGfsb-格式化字符串漏洞
Casuall的博客
05-21 705
引用维基百科https://ctf-wiki.github.io/ctf-wiki/pwn/linux/fmtstr/fmtstr_intro/ 格式化字符串函数可以接受可变数量的参数,并将第一个参数作为格式化字符串,根据其来解析之后的参数。通俗来说,格式化字符串函数就是将计算机内存中表示的数据转化为我们人类可读的字符串格式。几乎所有的 C/C++ 程序都会利用格式化字符串函数来输出信息,调试程...
pwn学习--collision
Casuall的博客
03-21 667
pwn-test-collision 本题来自https://pwnable.kr,是第二道题——collision。   首先通过ssh连过去,有三个文件,y一个可执行文件,一个C源文件,一个没有读权限的flag文件。尝试运行这个可执行文件,直接运行该程序,提示后面需要添加参数passcode,随便输入几个字符运行,得到提示需要输入20个字符,再输入20个字符,提示passcode错误。如图所示...
pwnable.kr-uaf WP
Casuall的博客
06-22 515
UAF(Use After Free)释放后重用,其实是一种指针未置空造成的漏洞。 首先介绍一下迷途指针的概念 在计算机编程领域中,迷途指针,或称悬空指针、野指针,指的是不指向任何合法的对象的指针。 当所指向的对象被释放或者收回,但是对该指针没有作任何的修改,以至于该指针仍旧指向已经回收的内存地址,此情况下该指针便称迷途指针。若操作系统将这部分已经释放的内存重新分配给另外一个进程,而原来的程序重...
pwnable.kr-passcode WP
Casuall的博客
03-30 477
首先用ssh连进去,一个可执行文件,一个源码文件,一个flag文件,先执行passcode程序,让你输入name,passcode1,passcode2,如图。 我们先用scp命令把文件拷贝下来,scp -P2222 passcode@pwnable.kr:passcode . ,注意后面有一个点,表示拷贝到当前目录的意思。然后看一下源码 #include <stdio.h> #in...
pwnable.kr-flag WP
Casuall的博客
03-26 400
将文件下载下来,用file命令查看一下,是一个64位可执行文件 用64位的IDA打开,发现里面的函数少的可怜,疑似加壳了 放到查壳工具里看一下,发现是UPX的壳,这里用linux下的命令xxd flag | tail(xxd的作用就是将一个文件以十六进制的形式显示出来,tail命令用途是依照要求将指定的文件的最后部分输出到标准设备,通常是终端,通俗讲来,就是把某个档案文件的最后几行显示到终端上...
pwnable.kr-random
Casuall的博客
03-21 365
pwnable.kr-random 这个是(https://pwnable.kr)中第6个题,比较简单。ssh连接后,直接运行里面可执行文件random,随便输入几个数,提示你应该尝试2的32次幂,直接看源码吧。 int main(){ unsigned int random; random = rand(); // random value! ...
git教程【源码管理系统教程及版本管理功能教程】
最新发布
08-13
git是一种源码管理系统(source code management,缩写为SCM)。它对当前文件提供版本管理功能,核心思想是对当前文件建立一个对象数据库(object database),将历史版本信息存放在这个数据库中。 适用人群:学习不同技术领域的小白或进阶学习者;可作为毕设项目、课程设计、大作业、工程实训或初期项目立项。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值