pwnable.kr-cmd2 WP

最新推荐文章于 2024-08-20 18:06:53 发布
原创 最新推荐文章于 2024-08-20 18:06:53 发布 · 317 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#pwnable.kr #cmd2

本文介绍如何在特定的SSH环境中,通过巧妙利用echo命令的转义特性及system函数,绕过严格的参数过滤,实现对命令的精确执行。在无PATH变量的情况下,采用特殊字符编码方式绕过‘/’的过滤,最终成功执行目标命令。

这道题的ssh密码是上一道题的flag,mommy now I get what PATH environment is for :) ,我这里给出一下,省的还得再去找。

看一下源码

#include <stdio.h>
#include <string.h>

int filter(char* cmd){
	int r=0;
	r += strstr(cmd, "=")!=0;
	r += strstr(cmd, "PATH")!=0;
	r += strstr(cmd, "export")!=0;
	r += strstr(cmd, "/")!=0;
	r += strstr(cmd, "`")!=0;
	r += strstr(cmd, "flag")!=0;
	return r;
}

extern char** environ;
void delete_env(){
	char** p;
	for(p=environ; *p; p++)	memset(*p, 0, strlen(*p));
}

int main(int argc, char* argv[], char** envp){
	delete_env();
	putenv("PATH=/no_command_execution_until_you_become_a_hacker");
	if(filter(argv[1])) return 0;
	printf("%s\n", argv[1]);
	system( argv[1] );
	return 0;
}

这个题和之前的cmd1那道题很像,也是将环境变量给更改了,然后将你传进去的参数当成命令执行,不过这次好像过滤更加严格了,参数中不能包含"="、 “PATH”、 “export”、 “/” 、 “`” 、 “flag”。

没有PATH变量,所以我们的命令必须绝对路径,而filter函数过滤了“/”,所以需要想办法绕过他。

我们尝试用echo去绕过‘/’,下图是echo函数的说明,加上“-e” 能够启用反斜杠转义的解释作用。

cmd0.png

再查看ascii码,“/”的ascii码用16进制表示是2F

cmd1.png

我们利用echo -e "\X2f"输出”/“

cmd2.png

但是利用cmd2的程序测试,发现并没有得到想要的效果

cmd3.png

源码中利用的是system()函数执行你传入的命令,我们看一下system函数的说明

cmd4.png

system()会调用fork()产生子进程,由子进程来调用/bin/sh -c string来执行参数string字符串所代表的命令,此命令执行完后随即返回原调用的进程。

我们利用man sh查看一下,然后利用/echo搜索关于echo的说明,如果以\0digits的形式,则输出值由0到3位八进制数字给出的字符。从上面ascii码上可以看到”/“的八进制为057

cmd5.png

可以看到得到了想要的结果,"/"。

cmd6.png

然后继续尝试

cmd7.png

反馈结果的第一行是传进去的参数,第二行是通过system执行参数命令返回的结果。第二个为什么会出现传进去的是\057bin\057cat cmd2.c?

bash中,$( )与` `(反引号)都是用来作命令替换的。所以$()里面的命令先得到了执行,输出\057bin\057cat,这里没有转换为"/"的原因是,此处执行的是程序库中的函数echo,而不是sh中的echo,二者是有差别的,前面已经有关于两个函数说明的截图了。

$()前面加个转义符号"\",表示输入的是一个字符串,然后再让system执行这个字符串。

测试成功后,就可以去解题了,创建一个目录,创建一个软连接,执行刚才测试好的结果。

cmd8.png

pwnable.kr】0x05-passcode Writeup
weixin_64667536的博客
08-30 588
Ubuntu-SSH连接根据目录信息拉取文件。
pwnable.kr】0x02-collision Writeup
weixin_64667536的博客
08-20 531
拉取文件分析源码阅读源码后,执行样例测试输入2个参数1个参数,程序输出如下。
pwnable.krcmd2
bluestar628的博客
04-12 1937
#include #include int filter(char* cmd){ intr=0; r+= strstr(cmd, "=")!=0; r+= strstr(cmd, "PATH")!=0; r+= strstr(cmd, "export")!=0; r+= strstr(cmd, "
pwnable.kr wp cmd2
fa1c4的blog
01-19 442
题目 Daddy bought me a system command shell. but he put some filters to prevent me from playing with it without his permission... but I wanna play anytime I want! ssh cmd2@pwnable.kr -p2222 (pw:flag of cmd1) cmd1的flag: mommy now I get what PATH environment
pwnable.krcmd2 - bypass with shell builtin commands & etc & system实现
think_ycx的专栏
10-10 358
cmd2 - 9 pt Daddy bought me a system command shell. but he put some filters to prevent me from playing with it without his permission... but I wanna play anytime I want! ssh cmd2@pwnable.kr -p2222 ...
[pwnable.kr]cmd1
iekuil的博客
10-04 214
() 小括号里面是 Linux 命令,作用就是执行里面的命令后返回执行的结果;平时在使用 rm、rmdir、ls 等命令时,无论当前位于哪个目录,都可以直接使用,试了一圈下来,除了bash和实际指向busybox的static-sh,然而这个权限似乎不是从sh来的,看到sh实际上是指向dash的软连接。看了网上的wp意识到自己压根就没思考程序里面改path变量的意义,这里才意识到单引号和双引号在shell里是不同的,而无需指明命令的执行文件所在的位置(绝对路径),可以判断当前使用的命令所在的绝对路径。
pwnable.kr-cmd1 WP
Casuall的博客
05-29 294
首先看一下源码: #include <stdio.h> #include <string.h> int filter(char* cmd){ int r=0; r += strstr(cmd, "flag")!=0; r += strstr(cmd, "sh")!=0; r += strstr(cmd, "tmp")!=0; r...
Pwnable.kr WP
AlexYoung28的博客
08-13 1070
近期,开始将以前做的CTF的题目,全部整理一遍,写个WP,也是为了督促自己,还需要学的东西还有很多。 Pwnable.kr fd  我们首先看到这道题的C源码: 需要得到flag,则需要执行 system("/bin/cat flag"); 则 必须 buf = "LETMEWIN"。 read(fd, buf, 32)函数中的三个参数中: fd == 0时:则表示标准输入; ...
pwnable.kr wp cmd1
fa1c4的blog
01-19 218
题目 Mommy! what is PATH environment in Linux? ssh cmd1@pwnable.kr -p2222 (pw:guest) 题解 #include <stdio.h> #include <string.h> int filter(char* cmd){ int r=0; r += strstr(cmd, "flag")!=0; r += strstr(cmd, "sh")!=0; r += strstr(cmd, "tmp")!
[pwnable.kr]cmd2
iekuil的博客
10-06 295
在https://linux.die.net/abs-guide/internalvariables.html中发现了一个新的关键词,在http://c.biancheng.net/view/1136.html中列举了一些bash内建命令,1.切换到根目录,这样执行pwd命令就会得到斜杠,可以看到执行时除了程序代码中修改的PATH变量,然后利用$()的命令执行,拼接得到绝对路径。4.创建软连接+pwd+$()命令执行。虽然system函数调用的是sh,echo和pwd命令可以执行,于是就想到一个问题,
HITCON-Training-Writeup
baikeng3674的博客
03-14 675
HITCON-Training-Writeup 原文链接M4x@10.0.0.55 项目地址M4x's github,欢迎star~ 更新时间5月16 复习一下二进制基础,写写HITCON-Training的writeup,题目地址:https://github.com/scwuaptx/HITCON-Training Outline Basic Knowledge In...
pwnable.kr】0x01-fd Writeup
weixin_64667536的博客
08-20 376
Ubuntu连接靶机(连不通的可以试一下proxychains)scp命令拷贝下fd源码文件。
pwnable.kr做题笔记(一)
has_zaoganmaqule的博客
08-12 2149
调用 `printf` 函数,`bl` 指令用于分支并链接,保存返回地址到链接寄存器 `lr`。- 将 `r4`, `r11`, 和 `lr` 寄存器的值压入栈中,用于保存函数调用前的状态。- 将 `r3` 的值(0)存储到 `r11` 指向的位置的偏移量 -16 处。- 如果 `r2` 和 `r3` 不相等,跳转到 `0x8da8` 地址处。- 调用 `scanf` 函数,`r0` 和 `r1` 作为参数传递。- 从 `r11` 指向的位置的偏移量 -16 处加载值到 `r3`。
pwnable.kr-fix
r00tnb的博客
02-28 948
前言 看似简单的改代码题,但是还是需要强大的汇编知识。花了很长时间,主要是自己对指令不是很熟悉。另外pwnable.kr的练习我会在另一个博客http://www.ktstartblog.top持续更新欢迎大家来踩。 分析 先分析源码fix.c #include &amp;lt;stdio.h&amp;gt; // 23byte shellcode from http://shell-storm...
pwntools的简单使用
Casuall的博客
09-20 9530
pwntools是一个CTF框架和漏洞利用开发库,用Python开发,旨在让使用者简单快速的编写exploit。 这里简单的介绍一下pwntools的使用。 首先就是导入包 from pwn import * 你将在全局空间里引用pwntools的所有函数。现在可以用一些简单函数进行汇编,反汇编,pack,unpack等等操作。 将包导入后,我一般都会设置日志记录级别,方便出现问题的时候排查错误...
pwnable.kr-bof WP
Casuall的博客
03-24 5777
pwnable.kr-bof   这道题是一个简单的缓冲器溢出的题,首先要做这道题要对函数调用栈有一定的了解。 函数调用栈是指程序运行时内存一段连续的区域,用来保存函数运行时的状态信息,包括函数参数与局部变量等。称之为“栈”是因为发生函数调用时,调用函数(caller)的状态被保存在栈内,被调用函数(callee)的状态被压入调用栈的栈顶;在函数调用结束时,栈顶的函数(callee)状态被弹出,栈...
Bugku-pwn4详解
Casuall的博客
07-14 4646
这道题来自bugku的第三道pwn题,pwn4。首先进行一些常规检查。 一个64位动态链接的程序,没有开什么保护。 然后用IDA打开,有个危险函数read,可以用来溢出。 shift + F12查看有没有可疑字符串,然后在字符串上按x查看引用他的地方,找到了一个system函数 但是system函数里面的字符串并不是我们想要的'/bin/sh',尝试用ROPgadget去搜索,命令为ROPg...
BugKu - pwn2
Casuall的博客
07-06 3881
这道题来自于bugku旧平台的第二道pwn题,还是比较简单的,一个典型的缓冲区溢出题。 首先查看一下文件类型,file pwn2,可以看到是64位的程序。然后用64位IDA打开,查看程序的逻辑。 可以看到这个程序的逻辑比较简单,有一个read函数,这个函数一个危险函数,可能引发缓冲区溢出漏洞。常见的危险函数还有gets、strcpy、sprintf、scanf等。 然后查看字符串,看看是否有内置...
攻防世界 Mary_Morto WP 三种解法
Casuall的博客
08-16 1800
Mary_Morto保护措施简介解题思路方法一:方法二:方法三: 来自于ASIS-CTF-Finals-2017的一道题,网上的wp都千篇一律,这里记录一下我的一些思路。 首先这道题可以从好几种方向去解,我这里介绍三种解法。 首先我们查看一下程序的保护措施,发现开启了Stack Canary和NX,RELRO和PIE没有开启。然后运行一下,提示选择我们的武器,第一个是栈溢出漏洞,第二个是格式化字符串漏洞,说明本题应该可以利用这个两个漏洞去解决问题。 保护措施简介 我们先简单的回顾一下这些保护措施是做什么用
pwnable.kr bof
最新发布
09-16
### pwnable.kr bof题目概述 pwnable.kr 是一个著名的在线渗透测试练习平台,bof(Buffer Overflow,缓冲区溢出)题目是其中经典类型。缓冲区溢出通常是由于程序没有正确检查用户输入的长度,导致输入的数据超出了缓冲区的边界,从而覆盖相邻的内存区域,可能改变程序的执行流程。 ### 解题思路与步骤 #### 1. 环境准备 首先需要在本地搭建好调试环境,安装必要的工具,如`gdb`(GNU调试器)、`pwntools`(Python 库,用于编写漏洞利用脚本)等。例如,使用`pwntools`可以方便地与远程服务器进行交互。 ```python from pwn import * # 连接到远程服务器 p = remote('pwnable.kr', 9000) ``` #### 2. 分析程序 - **反汇编**:使用`objdump`或`gdb`对目标程序进行反汇编,查看程序的汇编代码,了解程序的逻辑和函数调用关系。例如,使用`objdump -d bof`可以得到程序的反汇编代码。 - **检查漏洞点**:重点关注程序中存在缓冲区操作的函数,如`gets`、`strcpy`等,这些函数通常不检查输入的长度,容易引发缓冲区溢出漏洞。 #### 3. 确定缓冲区大小 通过调试程序,向程序输入不同长度的数据,观察程序的行为,确定缓冲区的大小。可以使用`gdb`设置断点,在关键位置查看栈的状态。 ```python # 构造不同长度的测试数据 test_data = 'A' * 10 p.sendline(test_data) ``` #### 4. 覆盖返回地址 当确定了缓冲区大小后,构造恶意输入,覆盖程序的返回地址。返回地址是函数调用结束后程序要跳转执行的地址,通过覆盖它可以改变程序的执行流程。 ```python # 计算返回地址的偏移量 offset = 44 # 假设偏移量为 44 # 构造恶意输入 payload = 'A' * offset # 获取目标地址(如系统函数地址) target_address = p64(0xdeadbeef) payload += target_address p.sendline(payload) ``` #### 5. 利用漏洞执行任意代码 - **调用系统函数**:如果程序中存在可利用的系统函数(如`system`),可以通过覆盖返回地址,将程序的执行流程引导到这些函数上,并传入合适的参数(如`/bin/sh`),从而获得一个 shell。 - **ROP 链**:如果程序中没有合适的系统函数可以直接调用,可以使用 ROP(Return Oriented Programming,面向返回编程)技术,通过拼接多个小的代码片段(gadget)来实现复杂的功能。 ```python # 构造 ROP 链 rop = ROP(elf) # 查找合适的 gadget pop_rdi = rop.find_gadget(['pop rdi', 'ret'])[0] bin_sh = next(elf.search(b'/bin/sh')) system_addr = elf.symbols['system'] # 构造 ROP 链 rop.raw(pop_rdi) rop.raw(bin_sh) rop.raw(system_addr) # 构造最终的 payload payload = 'A' * offset + str(rop) p.sendline(payload) ``` ### 技术分析 #### 缓冲区溢出原理 缓冲区溢出是由于程序对输入数据的长度没有进行有效的检查,导致输入的数据超出了缓冲区的边界,覆盖了相邻的内存区域。在栈上,函数调用时会保存返回地址等信息,当缓冲区溢出发生时,返回地址可能被覆盖,从而改变程序的执行流程。 #### 栈布局与内存管理 了解栈的布局对于利用缓冲区溢出漏洞至关重要。栈是一种后进先出的数据结构,函数调用时会在栈上分配空间,保存局部变量、参数和返回地址等信息。通过调试和分析栈的状态,可以确定缓冲区的位置和返回地址的偏移量。 #### 保护机制绕过 现代操作系统和编译器通常会采用一些保护机制,如 ASLR(地址空间布局随机化)、Canary(栈保护)等,来防止缓冲区溢出漏洞的利用。在解题过程中,需要了解这些保护机制,并寻找相应的绕过方法。例如,对于 ASLR,可以通过泄露程序的基地址来绕过;对于 Canary,可以通过泄露 Canary 的值来绕过。 ### 总结 解决 pwnable.kr 的 bof 题目需要掌握缓冲区溢出的基本原理、调试技巧和漏洞利用技术。通过不断地练习和实践,可以提高对漏洞的分析和利用能力。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值