nebula level01中flag01源码如图所示
hint提示说:There is a vulnerability in the below program that allows arbitrary programs to be executed
首先查看flag01的权限
具有s权限且用户组具有执行的权限,所以通过运行flag01可以暂时从level01获取到flag01的权限,如果对s权限不理解可以先来看一个例子(例子文章转载于http://over-rainbow.cn/2016/12/24/S-%E6%9D%83%E9%99%90/):
s权限
和普通的rwx权限不同,当s权限出现在文件上的时候,意味当其他用户使用执行这个文件的时候会被暂时set UID,简称SUID.
该权限的一些作用:
1.SUID权限仅对二进制程序有效(重要…)
2.执行则对于该程序需要具有x的可执行权限
3.本权限仅在执行该程序的过程中有效
4.执行者将具有该程序拥有者的权限
可以看出SUID的目的就是:让本没有相应权限的用户运行这个程序是,可以访问他没有权限访问的资源.
看两个例子:
1.Linux的密码是放在/etc/shadow下面的,然而权限一般普通用户都是0权限的,这就涉及到了一个问题.
那么普通用户为什么能修改密码?
是通过系统的passwd命令修改的,然后查看passwd的权限发先root权限是rws,这个s代表setuid的权限,因此当普通用户调用passwd命令时,setuid给了它一个临时的root权限,使得普通用户能够对/etc/shadow文件进行修改.接着我尝试给cat命令一个s权限,让普通用户读取/etc/shadow文件.
2.接下想个这样的问题:有一个用户user创建了一个文件之后,权限被设置为600,那么以为着只能user和root可以查看.那么当有一个其他的用户test02想要读取这个文件,就可以通过这种方式来读取.前提条件:需要user用户创建一个二进制程序,并且给予其他用户x权限,再给自己设置一个s权限.(出现”S”的原因是由于本身不具有x权限)这里通过cp一个cat命令来实现.两个用户test1和test2.
可以看出key.txt文件属于test1权限为600.
此时的test2没有读取的权限,但是getkey是test1且可运行并且拥有s权限.成功读取内容
对于s权限同样可以参考下面文章:https://segmentfault.com/a/1190000002523542
通过执行flag01函数可以短暂获取到该文件所有者flag01的权限,但是并不能提权,既然提示说是是可执行任意文件漏洞,我们从最关键的函数下手——倒数第二行的system函数。程序使用了system函数执行指定的shell命令,代码中,system执行的/usr/bin/env命令,但是system的参数并非来自变量,也就是我们无法控制system的参数。但是,这里它执行了env,通过env找到echo程序,and now what”是传递给echo的参数,所以只要控制echo函数的位置的内容和位置便可以永久获取一个shell,达到提权的目的。
如何控制echo函数的位置?
通过控制环境变量中path的路径来控制echo函数的位置,在修改echo函数路径之前先需要了解一下知识
Linux也提供了修改和查看环境变量的命令,下面通过几个实例来说明:
echo 显示某个环境变量值 echo $PATH
export 设置一个新的环境变量 export HELLO="hello" (可以无引号)
env 显示所有环境变量
set 显示本地定义的shell变量
unset 清除环境变量 unset HELLO
readonly 设置只读环境变量 readonly HELLO
关于PATH的作用:
PATH说简单点就是一个字符串变量,当输入命令的时候LINUX会去查找PATH里面记录的路径。比如在根目录/下可以输入命令ls,在/usr目录下也可以输入ls,但其实ls这个命令根本不在这个两个目录下,事实上当你输入命令的时候LINUX会去/bin,/usr/bin,/sbin等目录下面去找你此时输入的命令,而PATH的值恰恰就是/bin:/sbin:/usr/bin:……。其中的冒号使目录与目录之间隔开
/bin,/sbin,/usr/bin,/usr/sbin区别
/: this is root directoryroot 用户根目录
/bin: commandsin this dir are all system installed user commands系统的一些指令
/sbin:commands in this dir are all system installedsuper user commands超级用户指令系统管理命令,这里存放的是系统管理员使用的管理程序
/usr/bin: usercommands for applications后期安装的一些软件的运行脚本
/usr/sbin:super user commands for applications超级用户的一些管理程序
/usr/X11R6/bin: X application user commands
/usr/X11R6/sbin: X application super usercommands
Linux中的某些重要的目录:
•主目录:/root、/home/username
•用户可执行文件:/bin、/usr/bin、/usr/local/bin
•系统可执行文件:/sbin、/usr/sbin、/usr/local/sbin
•其他挂载点:/media、/mnt
•配置:/etc
•临时文件:/tmp
•内核和Bootloader:/boot
•服务器数据:/var、/srv
•系统信息:/proc、/sys
•共享库:/lib、/usr/lib、/usr/local/lib
每个用户都拥有一个主目录。所有用户的个人文件(配置、数据甚至应用程序)都放在其中。根的主目录为/root。大多数非根主目录包含在/home 树中,通常以用户命名。重要的二进制位于 /bin(用户二进制)以及 /sbin(系统二进制)中。不重要的二进制(如图形环境或Office 工具)安装在/usr/bin 和 /usr/sbin中。进行这种分隔是为了尽可能地缩小根分区。使用源代码编译的软件通常位于 /usr/local/bin 和/usr/local/sbin中。
由于获得系统的权限为:
并不具备在其他目录进行写操作,除了tmp目录之外,/tmp目录对任何用户都是有完整的权限,我们可利用它下手:
先修改环境变量$PATH:
在tmp目录下创建一下可执行文件并且用gcc编译:
#include <stdio.h>
#include <stdlib.h>
void main()
{
system("/bin/bash");
}
再执行flag01发现已经提权成功