[原创]WarGame-behemoth2 解题思路-Pwn-看雪-安全社区|安全招聘|kanxue.com

[原创]WarGame-behemoth2 解题思路

发表于: 2019-8-15 16:18 8116

[原创]WarGame-behemoth2 解题思路

pureGavin

2019-8-15 16:18

8116

Behemoth2伪代码如下

之所以发这题并不是因为这题有多难，而是这题体现了死皮赖脸的黑客精神（至少我是这么认为的）；随便找一个版本的Linux（我用的是Ubuntu18.04），将系统中的cat命令文件和whoami命令文件复制到我们在tmp目录下创建的临时文件夹，然后输入如下命令

将touch文件中的内容改成’/bin/sh’，然后将PATH环境变量改成自己创建的文件夹，执行behemoth2，结果如下

Behemoth2伪代码如下

int __cdecl main(int argc, const char **argv, const char **envp)
{
  __uid_t v3; // ebx@2
  __uid_t v4; // eax@2
  __uid_t v5; // ebx@3
  __uid_t v6; // eax@3
  struct stat stat_buf; // [sp+0h] [bp-88h]@1
  char s; // [sp+64h] [bp-24h]@1
  char v10; // [sp+68h] [bp-20h]@3
  __int16 v11; // [sp+6Ah] [bp-1Eh]@1
  char *name; // [sp+78h] [bp-10h]@1
  int v13; // [sp+7Ch] [bp-Ch]@1
  int *v14; // [sp+84h] [bp-4h]@1

  v14 = &argc;
  v13 = getpid();
  name = (char *)&v11;
  sprintf(&s, "touch %d", v13);
  if ( (lstat(name, &stat_buf) & 0xF000) != 0x8000 )
  {
    unlink(name);
    v3 = geteuid();
    v4 = geteuid();
    setreuid(v4, v3);
    system(&s);
  }
  sleep(0x7D0u);
  *(_DWORD *)&s = 544498019;
  v10 = 32;
  v5 = geteuid();
  v6 = geteuid();
  setreuid(v6, v5);
  system(&s);
  return 0;
}

int __cdecl main(int argc, const char **argv, const char **envp)
{
  __uid_t v3; // ebx@2
  __uid_t v4; // eax@2
  __uid_t v5; // ebx@3
  __uid_t v6; // eax@3
  struct stat stat_buf; // [sp+0h] [bp-88h]@1
  char s; // [sp+64h] [bp-24h]@1
  char v10; // [sp+68h] [bp-20h]@3
  __int16 v11; // [sp+6Ah] [bp-1Eh]@1
  char *name; // [sp+78h] [bp-10h]@1
  int v13; // [sp+7Ch] [bp-Ch]@1
  int *v14; // [sp+84h] [bp-4h]@1

  v14 = &argc;
  v13 = getpid();
  name = (char *)&v11;
  sprintf(&s, "touch %d", v13);
  if ( (lstat(name, &stat_buf) & 0xF000) != 0x8000 )
  {
    unlink(name);
    v3 = geteuid();
    v4 = geteuid();
    setreuid(v4, v3);
    system(&s);
  }
  sleep(0x7D0u);
  *(_DWORD *)&s = 544498019;
  v10 = 32;
  v5 = geteuid();
  v6 = geteuid();
  setreuid(v6, v5);
  system(&s);
  return 0;
}

behemoth2@behemoth:/tmp/pure/gavin$ chmod 777 cat whoami
behemoth2@behemoth:/tmp/pure/gavin$ ls
cat  touch  whoami

behemoth2@behemoth:/tmp/pure/gavin$ chmod 777 cat whoami
behemoth2@behemoth:/tmp/pure/gavin$ ls
cat  touch  whoami

登录后可查看完整内容

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

上传的附件：

behemoth2 （7.36kb，1次下载）

收藏・2

免费・1

支持

最新回复 (1)
七七ZZZ 雪币： 62 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	七七ZZZ 2 楼 6B啊 2019-8-15 18:35 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

pureGavin

发帖

1418

回帖

290

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区