nebula level01中flag01源码如图所示

hint提示说:There is a vulnerability in the below program that allows arbitrary programs to be executed

首先查看flag01的权限

具有s权限且用户组具有执行的权限，所以通过运行flag01可以暂时从level01获取到flag01的权限，如果对s权限不理解可以先来看一个例子(例子文章转载于http://over-rainbow.cn/2016/12/24/S-%E6%9D%83%E9%99%90/):

s权限

和普通的rwx权限不同,当s权限出现在文件上的时候,意味当其他用户使用执行这个文件的时候会被暂时set UID,简称SUID.

该权限的一些作用:

1.SUID权限仅对二进制程序有效(重要…)

2.执行则对于该程序需要具有x的可执行权限

3.本权限仅在执行该程序的过程中有效

4.执行者将具有该程序拥有者的权限

可以看出SUID的目的就是:让本没有相应权限的用户运行这个程序是,可以访问他没有权限访问的资源.

Example

看两个例子:

1.Linux的密码是放在/etc/shadow下面的,然而权限一般普通用户都是0权限的,这就涉及到了一个问题.

那么普通用户为什么能修改密码?

是通过系统的passwd命令修改的,然后查看passwd的权限发先root权限是rws,这个s代表setuid的权限,因此当普通用户调用passwd命令时,setuid给了它一个临时的root权限,使得普通用户能够对/etc/shadow文件进行修改.接着我尝试给cat命令一个s权限,让普通用户读取/etc/shadow文件.

2.接下想个这样的问题:有一个用户user创建了一个文件之后,权限被设置为600,那么以为着只能user和root可以查看.那么当有一个其他的用户test02想要读取这个文件,就可以通过这种方式来读取.前提条件:需要user用户创建一个二进制程序,并且给予其他用户x权限,再给自己设置一个s权限.(出现”S”的原因是由于本身不具有x权限)这里通过cp一个cat命令来实现.两个用户test1和test2.

可以看出key.txt文件属于test1权限为600.

此时的test2没有读取的权限，但是getkey是test1且可运行并且拥有s权限.成功读取内容

对于s权限同样可以参考下面文章:https://segmentfault.com/a/1190000002523542

通过执行flag01函数可以短暂获取到该文件所有者flag01的权限，但是并不能提权，既然提示说是是可执行任意文件漏洞，我们从最关键的函数下手——倒数第二行的system函数。程序使用了system函数执行指定的shell命令，代码中，system执行的/usr/bin/env命令，但是system的参数并非来自变量，也就是我们无法控制system的参数。但是，这里它执行了env，通过env找到echo程序，and now what”是传递给echo的参数，所以只要控制echo函数的位置的内容和位置便可以永久获取一个shell，达到提权的目的。

如何控制echo函数的位置？

通过控制环境变量中path的路径来控制echo函数的位置，在修改echo函数路径之前先需要了解一下知识

Linux也提供了修改和查看环境变量的命令，下面通过几个实例来说明：

echo 显示某个环境变量值 echo $PATH

export 设置一个新的环境变量 export HELLO="hello" (可以无引号)

env 显示所有环境变量

set 显示本地定义的shell变量

unset 清除环境变量 unset HELLO

readonly 设置只读环境变量 readonly HELLO

关于PATH的作用：

PATH说简单点就是一个字符串变量，当输入命令的时候LINUX会去查找PATH里面记录的路径。比如在根目录/下可以输入命令ls,在/usr目录下也可以输入ls,但其实ls这个命令根本不在这个两个目录下，事实上当你输入命令的时候LINUX会去/bin,/usr/bin,/sbin等目录下面去找你此时输入的命令，而PATH的值恰恰就是/bin:/sbin:/usr/bin:……。其中的冒号使目录与目录之间隔开

/bin,/sbin,/usr/bin,/usr/sbin区别

/: this is root directoryroot 用户根目录

/bin: commandsin this dir are all system installed user commands系统的一些指令

/sbin:commands in this dir are all system installedsuper user commands超级用户指令系统管理命令，这里存放的是系统管理员使用的管理程序

/usr/bin: usercommands for applications后期安装的一些软件的运行脚本

/usr/sbin:super user commands for applications超级用户的一些管理程序

/usr/X11R6/bin: X application user commands

/usr/X11R6/sbin: X application super usercommands

Linux中的某些重要的目录：

•主目录：/root、/home/username

•用户可执行文件：/bin、/usr/bin、/usr/local/bin

•系统可执行文件：/sbin、/usr/sbin、/usr/local/sbin

•其他挂载点：/media、/mnt

•配置：/etc

•临时文件：/tmp

•内核和Bootloader：/boot

•服务器数据：/var、/srv

•系统信息：/proc、/sys

•共享库：/lib、/usr/lib、/usr/local/lib

每个用户都拥有一个主目录。所有用户的个人文件（配置、数据甚至应用程序）都放在其中。根的主目录为/root。大多数非根主目录包含在/home 树中，通常以用户命名。重要的二进制位于 /bin（用户二进制）以及 /sbin（系统二进制）中。不重要的二进制（如图形环境或Office 工具）安装在/usr/bin 和 /usr/sbin中。进行这种分隔是为了尽可能地缩小根分区。使用源代码编译的软件通常位于 /usr/local/bin 和/usr/local/sbin中。

由于获得系统的权限为:

并不具备在其他目录进行写操作，除了tmp目录之外，/tmp目录对任何用户都是有完整的权限，我们可利用它下手：

先修改环境变量$PATH:

在tmp目录下创建一下可执行文件并且用gcc编译:

#include <stdio.h>

#include <stdlib.h>

void main()

{

system("/bin/bash");

}

再执行flag01发现已经提权成功