nebula level01收获

nebula level01中flag01源码如图所示

hint提示说:There is a vulnerability in the below program that allows arbitrary programs to be executed

首先查看flag01的权限


具有s权限且用户组具有执行的权限,所以通过运行flag01可以暂时从level01获取到flag01的权限,如果对s权限不理解可以先来看一个例子(例子文章转载于http://over-rainbow.cn/2016/12/24/S-%E6%9D%83%E9%99%90/):

s权限

和普通的rwx权限不同,当s权限出现在文件上的时候,意味当其他用户使用执行这个文件的时候会被暂时set UID,简称SUID.

该权限的一些作用:

1.SUID权限仅对二进制程序有效(重要…)

2.执行则对于该程序需要具有x的可执行权限

3.本权限仅在执行该程序的过程中有效

4.执行者将具有该程序拥有者的权限

可以看出SUID的目的就是:让本没有相应权限的用户运行这个程序是,可以访问他没有权限访问的资源.

Example

看两个例子:

1.Linux的密码是放在/etc/shadow下面的,然而权限一般普通用户都是0权限的,这就涉及到了一个问题.

那么普通用户为什么能修改密码?

是通过系统的passwd命令修改的,然后查看passwd的权限发先root权限是rws,这个s代表setuid的权限,因此当普通用户调用passwd命令时,setuid给了它一个临时的root权限,使得普通用户能够对/etc/shadow文件进行修改.接着我尝试给cat命令一个s权限,让普通用户读取/etc/shadow文件.

2.接下想个这样的问题:有一个用户user创建了一个文件之后,权限被设置为600,那么以为着只能user和root可以查看.那么当有一个其他的用户test02想要读取这个文件,就可以通过这种方式来读取.前提条件:需要user用户创建一个二进制程序,并且给予其他用户x权限,再给自己设置一个s权限.(出现”S”的原因是由于本身不具有x权限)这里通过cp一个cat命令来实现.两个用户test1和test2.

可以看出key.txt文件属于test1权限为600.

此时的test2没有读取的权限,但是getkey是test1且可运行并且拥有s权限.成功读取内容

对于s权限同样可以参考下面文章:https://segmentfault.com/a/1190000002523542

通过执行flag01函数可以短暂获取到该文件所有者flag01的权限,但是并不能提权,既然提示说是是可执行任意文件漏洞,我们从最关键的函数下手——倒数第二行的system函数。程序使用了system函数执行指定的shell命令,代码中,system执行的/usr/bin/env命令,但是system的参数并非来自变量,也就是我们无法控制system的参数。但是,这里它执行了env,通过env找到echo程序,and now what”是传递给echo的参数,所以只要控制echo函数的位置的内容和位置便可以永久获取一个shell,达到提权的目的。

如何控制echo函数的位置?

通过控制环境变量中path的路径来控制echo函数的位置,在修改echo函数路径之前先需要了解一下知识

Linux也提供了修改和查看环境变量的命令,下面通过几个实例来说明:

echo 显示某个环境变量值 echo $PATH

export 设置一个新的环境变量 export HELLO="hello" (可以无引号)

env 显示所有环境变量

set 显示本地定义的shell变量

unset 清除环境变量 unset HELLO

readonly 设置只读环境变量 readonly HELLO

关于PATH的作用:

PATH说简单点就是一个字符串变量,当输入命令的时候LINUX会去查找PATH里面记录的路径。比如在根目录/下可以输入命令ls,在/usr目录下也可以输入ls,但其实ls这个命令根本不在这个两个目录下,事实上当你输入命令的时候LINUX会去/bin,/usr/bin,/sbin等目录下面去找你此时输入的命令,而PATH的值恰恰就是/bin:/sbin:/usr/bin:……。其中的冒号使目录与目录之间隔开

/bin,/sbin,/usr/bin,/usr/sbin区别

/: this is root directoryroot 用户根目录

/bin: commandsin this dir are all system installed user commands系统的一些指令

/sbin:commands in this dir are all system installedsuper user commands超级用户指令系统管理命令,这里存放的是系统管理员使用的管理程序

/usr/bin: usercommands for applications后期安装的一些软件的运行脚本

/usr/sbin:super user commands for applications超级用户的一些管理程序

/usr/X11R6/bin: X application user commands

/usr/X11R6/sbin: X application super usercommands

Linux中的某些重要的目录:

•主目录:/root、/home/username

•用户可执行文件:/bin、/usr/bin、/usr/local/bin

•系统可执行文件:/sbin、/usr/sbin、/usr/local/sbin

•其他挂载点:/media、/mnt

•配置:/etc

•临时文件:/tmp

•内核和Bootloader:/boot

•服务器数据:/var、/srv

•系统信息:/proc、/sys

•共享库:/lib、/usr/lib、/usr/local/lib

每个用户都拥有一个主目录。所有用户的个人文件(配置、数据甚至应用程序)都放在其中。根的主目录为/root。大多数非根主目录包含在/home 树中,通常以用户命名。重要的二进制位于 /bin(用户二进制)以及 /sbin(系统二进制)中。不重要的二进制(如图形环境或Office 工具)安装在/usr/bin 和 /usr/sbin中。进行这种分隔是为了尽可能地缩小根分区。使用源代码编译的软件通常位于 /usr/local/bin 和/usr/local/sbin中。

由于获得系统的权限为:


并不具备在其他目录进行写操作,除了tmp目录之外,/tmp目录对任何用户都是有完整的权限,我们可利用它下手:


先修改环境变量$PATH:


在tmp目录下创建一下可执行文件并且用gcc编译:

#include <stdio.h>

#include <stdlib.h>

void main()

{

system("/bin/bash");

}

再执行flag01发现已经提权成功


最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 212,332评论 6 493
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 90,508评论 3 385
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 157,812评论 0 348
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 56,607评论 1 284
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 65,728评论 6 386
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 49,919评论 1 290
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,071评论 3 410
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 37,802评论 0 268
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,256评论 1 303
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 36,576评论 2 327
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,712评论 1 341
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,389评论 4 332
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,032评论 3 316
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,798评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,026评论 1 266
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 46,473评论 2 360
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 43,606评论 2 350

推荐阅读更多精彩内容