e
Size: a a a
2018 March 15
e
оттуда надо искать. мне прост как-то лень было этим заниматься. но ты может быть меня даже вдохновил
SJ
я не пойму откуда оно в шелл попадает
SJ
эти переменные юзаются потом другим софтом и получается rce?
e
я так понимаю, что сам busybox триггерит rce
e
вот в этой функции добавляются переменные среды
e
/* put all the parameters into an environment */
static char **fill_envp(struct dhcp_packet *packet)
SJ
wait4pid(spawn(argv));
SJ
на 274 в script.c
SJ
как раз после установки переменных окружения
SJ
udhcp_run_script вызывается из клиента после (не)получения пакета от сервера
SJ
dhcpc.c: udhcp_run_script(&packet, state == REQUESTING ? "bound" : "renew");
SJ
переменная будет добавляться в том цикле после if(packet) в fill_envp
SJ
у тебя есть возможность запустить это под каким-нибудь отладчиком?
SJ
брякнись на spawn и посмотри окружение
e
да. сейчас попробую
e
хм, в этом busybox абсолютно не такой код как в исходниках. парсятся только конкретные захардкоженные опции. и валидируются, кажется, нормально
e
может быть он специально запатчен так
SJ
Скомпилируй тем же компилятором и сравни в ida (с bindiff)
e
у меня есть компилятор, но не факт, что он тот же. + это просто видно в иде, и отладчик ловит именно это место. парсятся только конкретные опции, другие игнорятся