2024-07-04 08:00信息 • 发布者: FreeBuf

00后小伙子阿军在深圳城中村贴广告卖电脑,不料却差点把自己送进监狱。城中村的私人交易司空见惯,为什么他卖电脑就会被抓呢?



虽然来这之前阿诚心中已经有了答案,但此刻在经验丰富的电脑城老板给出价值评估后,阿诚还是气得直跳脚。好好地买台电脑怎么会被骗呢?这就得说说阿军的故事了。


01

揽下险活

阿诚口中的那个家伙,就是阿军。阿军卖电脑这事不假,假的是阿军卖的电脑。要说阿军干卖电脑这行当,既是遇人不淑,也是自己糊涂

brew tap cmd-tools/homebrew-tap

brew install gtfocli

in搜索tar二进制代码

echo "tar" | gtfocli search

搜索指定位置文件的二进制代码:

cat myBinaryList.txt

/bin/bash

/bin/sh

tar

arp

/bin/tail

 

gtfocli search -f myBinaryList.txt

搜索Windows二进制

搜索Winget.exe二进制代码:

gtfocli search Winget --os windows

从stdin搜索Winget二进制代码:

echo "Winget" | gtfocli search --os windows

搜索指定位置文件的二进制代码:

cat windowsExecutableList.txt

Winget

c:UsersDesktopSsh

Stordiag

Bash

c:UsersRunonce.exe

Cmdkey

c:dirsubDirUsersCertreq.exe

 

gtfocli search -f windowsExecutableList.txt --os windows

搜索Winget二进制代码,并将结果输出为yaml格式(使用-h参数可查看可用的格式选项):

gtfocli search Winget -o yaml --os windows

使用Docker化解决方案执行搜索

搜索Winget二进制代码,并将结果输出为yaml格式:

docker run -i cmdtoolsowner/gtfocli search Winget -o yaml --os windows

搜索tar二进制代码并将结果输出为json格式:

echo 'tar' | docker run -i cmdtoolsowner/gtfocli search -o json

搜索以卷形式加载在容器指定位置文件中的二进制代码:

cat myBinaryList.txt

/bin/bash

/bin/sh

tar

arp

/bin/tail

 

docker run -i -v $(pwd):/tmp cmdtoolsowner/gtfocli search -f /tmp/myBinaryList.txt

CTF场景

下面给出的例子中,我们将使用该工具结合find命令演示CTF场景中的使用:

find / -type f ( -perm 04000 -o -perm -u=s ) -exec gtfocli search {} ; 2>/dev/null

find / -type f ( -perm 04000 -o -perm -u=s ) 2>/dev/null | gtfocli search

工具使用演示

许可证协议

本项目的开发与发布遵循Apache-2.0开源许可协议。

项目地址

GTFOcli:https://github.com/cmd-tools/gtfocli

参考资料

https://gtfobins.github.io/

https://lolbas-project.github.io/