ExploitExercises_Nebula_Level13

最新推荐文章于 2019-01-13 22:00:01 发布
最新推荐文章于 2019-01-13 22:00:01 发布
阅读量701 收藏 1
点赞数
分类专栏: ExploitExercise
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hurricane_0x01/article/details/53943156
版权

题目源码中省略了token的计算过程:

#include <stdlib.h>
#include <unistd.h>
#include <stdio.h>
#include <sys/types.h>
#include <string.h>

#define FAKEUID 1000

int main(int argc, char **argv, char **envp)
{
  int c;
  char token[256];

  if(getuid() != FAKEUID) {
      printf("Security failure detected. UID %d started us, we expect %d\n", getuid(), FAKEUID);
      printf("The system administrators will be notified of this violation\n");
      exit(EXIT_FAILURE);
  }

  // snip, sorry :)

  printf("your token is %s\n", token);
  
}

可以看到,当运行程序的UID为1000时将打印token,否则提示错误退出。

cat /etc/passwd可以看到1000为用户nebula,而当前用户level13位1014.

该题目有两种利用方式:

1. gdb调试,在getuid()后作比较的时候,将getuid返回值,即EAX的值改为1000.

x0x80484d9 <main+21>     mov    0x10(%ebp),%eax                                                                                                                                x
   x0x80484dc <main+24>     mov    %eax,0x18(%esp)                                                                                                                                x
   x0x80484e0 <main+28>     mov    %gs:0x14,%eax                                                                                                                                  x
   x0x80484e6 <main+34>     mov    %eax,0x12c(%esp)                                                                                                                               x
   x0x80484ed <main+41>     xor    %eax,%eax                                                                                                                                      x
   x0x80484ef <main+43>     call   0x80483c0 <getuid@plt>                                                                                                                         x
   x0x80484f4 <main+48>     cmp    $0x3e8,%eax                                                                                                                                    x
   x0x80484f9 <main+53>     je     0x8048531 <main+109>                                                                                                                           x
   x0x80484fb <main+55>     call   0x80483c0 <getuid@plt>                                                                                                                         x
   x0x8048500 <main+60>     mov    $0x80486d0,%edx                                                                                                                                x
   x0x8048505 <main+65>     movl   $0x3e8,0x8(%esp)                                                                                                                               x
   x0x804850d <main+73>     mov    %eax,0x4(%esp)                                                                                                                                 x
   x0x8048511 <main+77>     mov    %edx,(%esp)                                                                                                                                    x
   x0x8048514 <main+80>     call   0x80483a0 <printf@plt>                                                                                                                         x
   x0x8048519 <main+85>     movl   $0x804870c,(%esp)                                                                                                                              x
   x0x8048520 <main+92>     call   0x80483d0 <puts@plt>                                                                                                                           x
   x0x8048525 <main+97>     movl   $0x1,(%esp)                                                                                                                                    x
   x0x804852c <main+104>    call   0x80483f0 <exit@plt>                                                                                                                           x
   x0x8048531 <main+109>    lea    0x2c(%esp),%eax   
set $eax = 1000

修改寄存器值后,继续执行,程序将打印出token: 

b705702b-76a8-42b0-8844-3adabbe5ac58

然后使用token登陆flag13账号。


2. 调试flag13,可以看到token计算方法为密文与0x5A异或: 

  v17 = *MK_FP(__GS__, 20);
  if ( getuid() != 1000 )
  {
    v3 = getuid();
    printf("Security failure detected. UID %d started us, we expect %d\n", v3, 1000);
    puts("The system administrators will be notified of this violation");
    exit(1);
  }
  memset(&v7, 0, 0x100u);
  v7 = *(_DWORD *)"8mjomjh8wml;bwnh8jwbbnnwi;>;88?o;9ob";
  v8 = *(_DWORD *)"mjh8wml;bwnh8jwbbnnwi;>;88?o;9ob";
  v9 = *(_DWORD *)"wml;bwnh8jwbbnnwi;>;88?o;9ob";
  v10 = *(_DWORD *)"bwnh8jwbbnnwi;>;88?o;9ob";
  v11 = *(_DWORD *)"8jwbbnnwi;>;88?o;9ob";
  v12 = *(_DWORD *)"bnnwi;>;88?o;9ob";
  v13 = *(_DWORD *)"i;>;88?o;9ob";
  v14 = *(_DWORD *)"88?o;9ob";
  v15 = *(_DWORD *)";9ob";
  v16 = a8mjomjh8wmlBwn[36];
  for ( i = 0; *((_BYTE *)&v7 + i); ++i )
    *((_BYTE *)&v7 + i) ^= 0x5Au;
  result = printf("your token is %s\n", &v7);
  v5 = *MK_FP(__GS__, 20) ^ v17;
  return result;
}

编写如下python脚本解密得到token: 

enc = '8mjomjh8wml;bwnh8jwbbnnwi;>;88?o;9ob'
dec = ''
for i in range(len(enc)):
	dec += chr(ord(enc[i]) ^ 0x5a)
print dec

level13@nebula:~$ python dec.py 
b705702b-76a8-42b0-8844-3adabbe5ac58



小黑话不多
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
digital_nebula
09-02
digital_nebula
Nebula level13
无心插柳
05-13 6202
About There is a security check that prevents the program from continuing execution if the user invoking it does not match a specific user id. To do this level, log in as the level13 account with th
Exploit Exercises Nebula 中总结linux的基础漏洞和一些小知识点
giantbranch的专栏
03-25 1636
Exploit Exercises Nebula 中总结linux的基础漏洞和一些小知识点第一次使用markdown进行写文章,其实如果markdown编辑器支持qq截图直接粘贴就好了我觉学习了就应该有个总结,这样才会更加的牢固 Exploit Exercises Nebula level00-19 学习记录搜索setuid/setgid的程序搜索一个setuid的程序,我们可以根据它的用户i
Exploit-ExerciseNebula实践(一)
Yale的博客
01-13 938
获取00关卡的flag。 题目提示需要查找以”flag00”账户运行的设置了SUID的程序,并提示我们可以从跟目录开始查找 找到了了之后执行这个程序,我们这个用户“level00”就或者“flag00”的权限,也就可以getflag了 那么怎么找到符合要求的程序呢? 首先切换到根目录 由于我们目前的登录的是level00,在搜索没有权限进入的目录时会出错,所以为了避免干扰需要将错误信息输入到/d...
ExploitExercises_Nebula_Level07
小黑话不多
12-28 1048
题目源码为一段perl脚本: #!/usr/bin/perl use CGI qw{param}; print "Content-type: text/html\n\n"; sub ping { $host = $_[0]; print("Ping results"); @output = `ping -c 3 $host 2>&1`; foreach $line (@
ExploitExercises_Nebula_Level08
小黑话不多
12-28 445
题目提供了一个capture.pcap文件: 可以看到password部分输入,其中包括几处0x7F,查询ascii表,该值对应删除操作。 还原删除过程,最终得到密码:bacjd00Rmate su - flag08尝试登陆,成功。
ExploitExercises_Nebula_Level12
小黑话不多
12-30 465
程序源码为lua脚本: local socket = require("socket") local server = assert(socket.bind("127.0.0.1", 50001)) function hash(password) prog = io.popen("echo "..password.." | sha1sum", "r") data = prog:read
ExploitExercises_Nebula_Level05
小黑话不多
12-26 511
题目如下: Check the flag05 home directory. You are looking for weak directory permissions To do this level, log in as the level05 account with the password level05. Files for this level can be found i
ExploitExercises_Nebula_Level10
小黑话不多
12-30 603
题目源码: #include #include #include #include #include #include #include #include #include int main(int argc, char **argv) { char *file; char *host; if(argc < 3) { printf("%s file
ExploitExercises_Nebula_Level06
小黑话不多
12-26 417
题目如下: The flag06 account credentials came from a legacy unix system. To do this level, log in as the level06 account with the password level06. Files for this level can be found in /home/flag06.
golden_nebula
09-02
golden_nebula
Pulsar_wind_nebula_Spectral_analysis
02-09
脉冲星云光谱分析从PWN G21.5 -0.9的发射中获得了一些结果数据 Obsid:10002014003基于纸数据清理
抽象精品ppt模板golden_nebula234
09-02
抽象精品ppt模板golden_nebula234
精品ppt模板PPT素材digital_nebula018
09-02
精品ppt模板PPT素材digital_nebula018
ExploitExercises_Nebula_Level01
小黑话不多
12-26 1375
题目源码如下: #include #include #include #include #include int main(int argc, char **argv, char **envp) { gid_t gid; uid_t uid; gid = getegid(); uid = geteuid(); setresgid(gid, gid, gid);
Exploit_Nubula_Level00
小黑话不多
12-25 1023
题目如下: This level requires you to find a Set User ID program that will run as the “flag00” account. You could also find this by carefully looking in top level directories in / for suspicious looking d
ExploitExercises_Nebula_Level14
小黑话不多
12-30 1017
/home/flag14/flag14是一个加密程序,输入加-e参数,该程序将对输入数据加密后输出到终端: level14@nebula:~$ /home/flag14/flag14 -e 123456 13579; 逆向加密算法: v12 = *MK_FP(__GS__, 20); v8 = 0; if ( argc <= 1 ) goto LABEL_17;
ExploitExercises_Nebula_Level03
小黑话不多
12-26 816
题目设置定时任务,定时执行/home/flag03/writable.sh脚本: #!/bin/sh for i in /home/flag03/writable.d/* ; do (ulimit -t 5; bash -x "$i") rm -f "$i" done 可以看到,该脚本去执行writable.d目录下的程序。 获取shell过程如下: 1.
table_name="ods_nebula_tb_customer" table_level_1="${table_name%%_*}"
最新发布
07-15
根据你提供的代码,变量 `table_name` 的值是 "ods_nebula_tb_customer",而变量 `table_level_1` 则是通过截取 `table_name` 中第一个下划线之前的部分来得到的。 具体来说,`${table_name%%_*}` 是一种字符串替换...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值