ddaa's blog
Write-ups for CTF.
ddaa's blog
34C3CTF 2017 MISC 162 minbashmaxfun

3XC3CTF , bash , cmdi

34C3 跟去年一樣是在上班時間舉辦
沒什麼時間打,第二天的下班時間幾乎都在解這題
這題應該是至今解過限制最多的 cmd injection 題目了...


題目會把我們的 input 丟到 execl("/bin/bash", "/bin/bash", "-c", input, NULL) 執行
但 input 只能包含以下字元:$ ( ) # ! { } < \..

Read More