获取00关卡的flag。
题目提示需要查找以”flag00”账户运行的设置了SUID的程序,并提示我们可以从跟目录开始查找
找到了了之后执行这个程序,我们这个用户“level00”就或者“flag00”的权限,也就可以getflag了
那么怎么找到符合要求的程序呢?
首先切换到根目录
由于我们目前的登录的是level00,在搜索没有权限进入的目录时会出错,所以为了避免干扰需要将错误信息输入到/dev/null中,linux下标准输入输出错误分别为0,1,2,所以我们在搜索命令后加上2>/dev/null
运行第一个
此时已经获得与flag00相同的权限
执行getflag
通关
任务描述:获取01关卡的flag。
01.
题目提示,代码存在的漏洞可以导致任意程序被执行
我们先正常情况下执行flag01
根据输出定位到第17行,可以看到程序是调用了system执行命令。此处存在的漏洞在于echo程序不是程序直接指定的,而是由env定位找到,然后执行echo后面的字符串and now what?env是在环境变量
P
A
T
H
中
寻
找
e
n
v
的
,
如
果
我
们
修
改
了
PATH中寻找env的,如果我们修改了
PATH中寻找env的,如果我们修改了PATH,就可以欺骗env,继而使得代码中的system执行我们的命令。
首先将/tmp/echo链接到/bin/getflag
修改环境变量,将tmp路径放在前面,这样tmp优先被找到
这样设置之后,当env寻找echo时会先找到tmp处的echo,而此处的echo链接到了/bin/getflag
切换目录,执行程序看看效果
通过
获取关卡02,03的flag
题目提示我们,该代码允许任意程序被执行
我们要想通关自然就是要执行getflag啦
我们先执行程序看看
根据输出我们定位到22行处的代码,使用getenv()获取环境变量user的值,然后与前面的字符串拼接在一起,然后通过23行system执行,输出。如果我们修改了环境变量user的值,自然也就相当于修改了system的参数。在正常情况下,system执行的是/bin/echo,如果我们传进的user是“;/bin/getflag”,拼接起来就相当于/bin/echo;/bin/getflag is cool,那么我们就可以通关了。
接下来我们首先修改环境变量user然后执行
成功通关
03.
题目提示注意flag03目录,并且告诉我们有一个每隔几分钟会执行的crontab定时任务
首先我们使用nebula/nebula登录
列出所有定时任务
查看具体的crontab
可以看到执行是writable.sh
切换使用level03/level03登录
查看writable.sh
可以看到,执行的是writables.d文件夹下的文件,然后删除这个脚本。
我们来看一下权限
我们无法修改shell脚本,但是可以修改writale.d
那么如果我们在writable.d下创建一个文件,其中写入我们的命令,然后crontab执行shell脚本,shell脚本再执行writable.d,那么就相当于我们的命令被执行了
赋予777权限
等待一会儿,由于crontab定时任务的执行也带动执行了pwn3,我们查看结果即可
成功通关
获取关卡04,05的flag
题目提示我们需要读取token,但是程序阻止我们读取代码,我们需要找到方法绕过程序的限制
可以看到,目前我们对token没有权限
但是token属于flag04用户组,flag04程序也属于flag04用户组,即我们可以考虑通过flag04来读取token
我们在代码中可以看到,第18行禁止我们输入的字符串中有“token”,那么怎样可以在输入字符串中不包含“token”,又能使flag04打开token呢?我们可以新建一个链接指向token就可以了
创建链接指向token
执行flag04时后面的加参数是我们上图创建的/tmp/flag04
得到token后使用flag04/token值登录
执行getflag,通关
05.
题目提示进入flag05目录,并且需要注意权限
可以看到有一个.ssh文件,如果我们那拿到ssh的私钥就可以登录flag05账户,自然就通过了,但是我们对.ssh文件没有任何权限,不过此处还有.backup,我们对这个文件有权限。那就从这儿入手。
是一个压缩文件,压缩后如图
那我们就清楚了,可以使用此处解压后的私钥进行ssh登录
输入yes后回车
成功登录,执行getflag即可
通关
扩展资料
1.《unix环境高级编程》
2.《鸟哥的linux私房菜》
3.《深入理解linux内核》
参考
https://github.com/1u4nx/Exploit-Exercises-Nebula
https://nitesculucian.github.io/2017/10/24/180000-Exploit-Exercises-Nebula-07.html
https://mike-boya.github.io/blog/2016/02/15/exploit-exercises-nebula-level08/
https://73696e65.github.io/2015/06/exploit-exercises-nebula-11-15
http://blog.yyx.me/posts/exploit-exercises-nebula-level-15-19.html
http://www.kroosec.com/2012/11/nebula-level15.html
https://decepticode.wordpress.com/2016/05/04/nebula-level16/
https://mike-boya.github.io/blog/2016/02/22/exploit-exercises-nebula-level17/
http://www.php.cn/python-tutorials-372984.html
http://www.pwntester.com/blog/2013/11/27/nebula-level18-write-up/
http://blog.ferling.eu/wargames/nebula/level19
https://blog.csdn.net/hurricane_0x01/article/details/53926752
http://seclists.org/fulldisclosure/2014/May/128
634
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
