[Toddler's Bottle] cmd2 writeup

문제

Daddy bought me a system command shell.
but he put some filters to prevent me from playing with it without his permission...
but I wanna play anytime I want!

ssh cmd2@pwnable.kr -p2222 (pw:flag of cmd1)

---

분석

cmd2.c의 내용

#include <stdio.h>
#include <string.h>

int filter(char* cmd){
    int r=0;
    r += strstr(cmd, "=")!=0;
    r += strstr(cmd, "PATH")!=0;
    r += strstr(cmd, "export")!=0;
    r += strstr(cmd, "/")!=0;
    r += strstr(cmd, "`")!=0;
    r += strstr(cmd, "flag")!=0;
    return r;
}

extern char** environ;
void delete_env(){
    char** p;
    for(p=environ; *p; p++)    memset(*p, 0, strlen(*p));
}

int main(int argc, char* argv[], char** envp){
    delete_env();
    putenv("PATH=/no_command_execution_until_you_become_a_hacker");
    if(filter(argv[1])) return 0;
    printf("%s\n", argv[1]);
    system( argv[1] );
    return 0;
}

cmd1과 유사하다. 다만 argv[1]에 포함시킬 수 없는 문자열 blacklist가 늘어났다.

---

FL4G

cmd1에서처럼 최종 목표는 system("/bin/cat fake")을 실행시키는 것이다.

이번에는 '/'가 막힌 것이 문제다.

이 부분은 command substitution을 이용하면 해결가능하다.

$() 또는 `` 내부에 명령이 들어가고 해당 명령이 실행되어 그 결과값이 그 자리를 채우게 된다.

참고 : [What is $() in a command?] :: UNIX &LINUX

cmd1에서와 마찬가지로 symbolic link를 활용한다.

ord('/') = 47 = 0x2f = 0o57 이다.

이때 argv[1]에 \x2f가 들어가면 실행이 되지 않는다. 그 이유는 잘 모르겠지만 \x2f 대신 팔진법 표현인 \057을 사용하니 잘 실행되었다.

참고 : [네이버블로그] 보노보노의 컴퓨터 :: pwnable.kr Toddler's bottle [cmd2] - PATH environment :: 작성자 Cyb3rC4t

+) 실제 pwnable.kr 서버에서는 다음과 같이 수행하면 된다.

1. /tmp 디렉토리에 symbolic link 파일 생성 (이름은 fake라 가정)

2. 명령어: ~/cmd2 "\$(printf '\057bin\057cat fake')"