Exploit-Exercise之Nebula实践指南(一)

2018-05-11  本文已影响81人  蚁景科技

前言

本系列文章为https://exploit-exercises.com网站Nebula关卡的通关实践指南。

Nebula关卡分为19部分,文章中以00~19标识。本系列挑战涉及以下知识点:setuid,path环境变量,命令执行,crontab,软链接,/etc/passwd密码爆破、pcap包分析、php语言、lua语言、python语言、c语言、正则表达式、TOCTOU(文件访问竞态条件漏洞)、GDB调试、strace跟踪、文件描述符、资源未释放漏洞、父子进程等。

通过本系列的挑战可以很快的入门linux在信息安全方向的实践。

下面先来介绍下如何使用Nebula。

Nebula权限最后的账户是nebula,密码也是nebula.如果某一关涉及到修改系统配置,那么我们可以通过切换到nebula/nebula来修改。

一般情况下,对于对应的关卡,我们登录levelxx/levelxx后进入/home/flagxx目录开始挑战。假设我们挑战第二关,则登录level02/level02,进入/home/flag02。如果我们能够在shell中执行getflag命令或者出现

则表明挑战成功。

如果要接着跳转下一关,则可以使用su切换,比如进入第三关,则输入

Sulevel03,level03即可。

需要从源码中寻找漏洞的关卡,其源码都在对应的页面,查看即可。(https://exploit-exercises.com/nebula/levelxx)

因Nebula涉及关卡较多,知识点错综复杂,加之本人能力有限,参考了国内外许多大牛的博客,参考链接一并在文末给出。

接下来开始正式的通关之旅。

00

题目提示需要查找以”flag00”账户运行的设置了SUID的程序,并提示我们可以从跟目录开始查找

找到了了之后执行这个程序,我们这个用户“level00”就或者“flag00”的权限,也就可以getflag了

那么怎么找到符合要求的程序呢?

首先切换到根目录

由于我们目前的登录的是level00,在搜索没有权限进入的目录时会出错,所以为了避免干扰需要将错误信息输入到/dev/null中,linux下标准输入输出错误分别为0,1,2,所以我们在搜索命令后加上2>/dev/null

运行第一个

此时已经获得与flag00相同的权限

执行getflag

通关

01

题目提示,代码存在的漏洞可以导致任意程序被执行

我们先正常情况下执行flag01

根据输出定位到第17行,可以看到程序是调用了system执行命令。此处存在的漏洞在于echo程序不是程序直接指定的,而是由env定位找到,然后执行echo后面的字符串andnowwhat?env是在环境变量$PATH中寻找env的,如果我们修改了$PATH,就可以欺骗env,继而使得代码中的system执行我们的命令。

首先将/tmp/echo链接到/bin/getflag

修改环境变量,将tmp路径放在前面,这样tmp优先被找到

这样设置之后,当env寻找echo时会先找到tmp处的echo,而此处的echo链接到了/bin/getflag

切换目录,执行程序看看效果

通过

02

题目提示我们,该代码允许任意程序被执行

我们要想通关自然就是要执行getflag啦

我们先执行程序看看

根据输出我们定位到22行处的代码,使用getenv()获取环境变量user的值,然后与前面的字符串拼接在一起,然后通过23行system执行,输出。如果我们修改了环境变量user的值,自然也就相当于修改了system的参数。在正常情况下,system执行的是/bin/echo,如果我们传进的user是“;/bin/getflag”,拼接起来就相当于/bin/echo;/bin/getflagis cool,那么我们就可以通关了。

接下来我们首先修改环境变量user然后执行

成功通关

03

题目提示注意flag03目录,并且告诉我们有一个每隔几分钟会执行的crontab定时任务

首先我们使用nebula/nebula登录

列出所有定时任务

查看具体的crontab

可以看到执行是writable.sh

切换使用level03/level03登录

查看writable.sh

可以看到,执行的是writables.d文件夹下的文件,然后删除这个脚本。

我们来看一下权限

我们无法修改shell脚本,但是可以修改writale.d

那么如果我们在writable.d下创建一个文件,其中写入我们的命令,然后crontab执行shell脚本,shell脚本再执行writable.d,那么就相当于我们的命令被执行了

赋予777权限

等待一会儿,由于crontab定时任务的执行也带动执行了pwn3,我们查看结果即可

成功通关

04

题目提示我们需要读取token,但是程序阻止我们读取代码,我们需要找到方法绕过程序的限制

可以看到,目前我们对token没有权限

但是token属于flag04用户组,flag04程序也属于flag04用户组,即我们可以考虑通过flag04来读取token

我们在代码中可以看到,第18行禁止我们输入的字符串中有“token”,那么怎样可以在输入字符串中不包含“token”,又能使flag04打开token呢?我们可以新建一个链接指向token就可以了

创建链接指向token

执行flag04时后面的加参数是我们上图创建的/tmp/flag04

得到token后使用flag04/token值登录

执行getflag,通关

05

题目提示进入flag05目录,并且需要注意权限

可以看到有一个.ssh文件,如果我们那拿到ssh的私钥就可以登录flag05账户,自然就通过了,但是我们对.ssh文件没有任何权限,不过此处还有.backup,我们对这个文件有权限。那就从这儿入手。

是一个压缩文件,压缩后如图

那我们就清楚了,可以使用此处解压后的私钥进行ssh登录

输入yes后回车

成功登录,执行getflag即可

通关

(剩下文章会在后续持续更新,请注意关注!)

注:未经允许,严禁转载!

上一篇下一篇

猜你喜欢

热点阅读