[BJDCTF 2nd]test

浅浅的花香味﹌ 2023-02-20 04:52 19阅读 0赞

ssh ctf@node3.buuoj.cn -p <port>

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MzgzMzY0Mg_size_16_color_FFFFFF_t_70]  
查看`test.c`源码，  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MzgzMzY0Mg_size_16_color_FFFFFF_t_70 1]  
这里过滤了`'nepbushiflag|/$-<>.'`这些字符，如果绕过直接调用`system(user_input)`

当前用户`ctf`属于`ctf组`，  
![在这里插入图片描述][20200623134007598.png]  
这里要注意test设置了特殊权限位g位，而且flag文件与test同属于同一个用户组`ctf_pwn`，设置了g位，当test程序运行的时候，它的`有效用户组`(egid)就会变成文件的所属用户组即`ctf_pwn`。

对于flag文件，它所在用户组的的成员是具备读的权限的，所以只要我们通过`test`能拿到shell，就一定可以读取到flag(以有效用户组`ctf_pwn`的身份)  
![在这里插入图片描述][20200623134205210.png]  
现在目标就转变为`绕过这么多字符拿到一个shell`  
![在这里插入图片描述][20200623134730993.png]

ls /usr/local/sbin /usr/local/bin /usr/sbin /usr/bin /sbin /bin /usr/games /usr/local/games | grep -v -E "n|e|p|u|s|h|i|f|l|a|g"

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MzgzMzY0Mg_size_16_color_FFFFFF_t_70 2]  
`x86_64`是一个指向`setarch`的链接  
![在这里插入图片描述][20200623135554423.png]  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MzgzMzY0Mg_size_16_color_FFFFFF_t_70 3]  
在拿到shell后，egid即有效用户组就是`ctf_pwn`，也验证了我们前面说的理论。  
![在这里插入图片描述][20200623135945716.png]

[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MzgzMzY0Mg_size_16_color_FFFFFF_t_70]: https://img-blog.csdnimg.cn/20200623130411908.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MzgzMzY0Mg==,size_16,color_FFFFFF,t_70
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MzgzMzY0Mg_size_16_color_FFFFFF_t_70 1]: https://img-blog.csdnimg.cn/20200623130528706.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MzgzMzY0Mg==,size_16,color_FFFFFF,t_70
[20200623134007598.png]: https://img-blog.csdnimg.cn/20200623134007598.png
[20200623134205210.png]: https://img-blog.csdnimg.cn/20200623134205210.png
[20200623134730993.png]: https://img-blog.csdnimg.cn/20200623134730993.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MzgzMzY0Mg_size_16_color_FFFFFF_t_70 2]: https://img-blog.csdnimg.cn/20200623135327827.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MzgzMzY0Mg==,size_16,color_FFFFFF,t_70
[20200623135554423.png]: https://img-blog.csdnimg.cn/20200623135554423.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MzgzMzY0Mg_size_16_color_FFFFFF_t_70 3]: https://img-blog.csdnimg.cn/20200623135858454.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MzgzMzY0Mg==,size_16,color_FFFFFF,t_70
[20200623135945716.png]: https://img-blog.csdnimg.cn/20200623135945716.png