还是先连接上去看看有什么,密码是上一题的flag
cat一下或者IDA
#include <stdio.h>
#include <string.h>
int filter(char* cmd){
int r=0;
r += strstr(cmd, "=")!=0;
r += strstr(cmd, "PATH")!=0;
r += strstr(cmd, "export")!=0;
r += strstr(cmd, "/")!=0;
r += strstr(cmd, "`")!=0;
r += strstr(cmd, "flag")!=0;
return r;
}
extern char** environ;
void delete_env(){
char** p;
for(p=environ; *p; p++) memset(*p, 0, strlen(*p));
}
int main(int argc, char* argv[], char** envp){
delete_env();
putenv("PATH=/no_command_execution_until_you_become_a_hacker");
if(filter(argv[1])) return 0;
printf("%s\n", argv[1]);
system( argv[1] );
return 0;
}
可以看到思路基本是和上一题cmd1是一样的,但是过滤条件更加严格了连/也不能使用
我自己不是太熟悉,所以参考了网上的很多方法,下面我就说一下网上最常见的方法:使用通配符
首先是理解system()指令搜索命令的执行方式
http://man7.org/linux/man-pages/man3/system.3.html从这里可以看出来execl("/bin/sh", "sh", "-c", command, (char *) 0);此命令用于sh以此特定方式执行命.
而这里https://www.freebsd.org/cgi/man.cgi?query=sh&sektion=&n=1说明了command [-p] [utility [argument ...]]的-p选项的命令允许我们使用默认值PATH进行搜索。它保证找到所有标准实用程序。
system本质是调用execve /bin/sh 来执行命令的。所以要想方法借助sh的特性来出现/。
输入./cmd2 "command -p cat f*"获得flag
下面内容参考至:https://blog.csdn.net/think_ycx/article/details/82991032这里还列出了很多不同的思路大家可以去看看
补充:system调用sh执行命令源码
下载glibc后,开始调试system源码。
# 编译
gcc system.c -g -o system
# 调试
gdb system
# 加载源码
gdb> directory /root/Pwn/glibc/glibc-2.23/sysdeps/posix/
system调用链:__libc_system->do_system->__execve (SHELL_PATH, (char *const *) new_argv, __environ) 。SHELL_PATH是/bin/sh。
do_system 部分源码:
// ... 处理一些信号
if (pid == (pid_t) 0)
{
/* Child side. */
const char *new_argv[4];
new_argv[0] = SHELL_NAME;
new_argv[1] = "-c";
new_argv[2] = line;
new_argv[3] = NULL;
/* Restore the signals. */
(void) __sigaction (SIGINT, &intr, (struct sigaction *) NULL);
(void) __sigaction (SIGQUIT, &quit, (struct sigaction *) NULL);
(void) __sigprocmask (SIG_SETMASK, &omask, (sigset_t *) NULL);
INIT_LOCK ();
/* Exec the shell. */
(void) __execve (SHELL_PATH, (char *const *) new_argv, __environ);
_exit (127);
}
详细参考:关于glibc的system函数调用实现https://blog.csdn.net/u010039418/article/details/77017689
240
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
