前言

本系列文章为https://exploit-exercises.com网站Nebula关卡的通关实践指南。

Nebula关卡分为19部分，文章中以00~19标识。本系列挑战涉及以下知识点：setuid,path环境变量，命令执行，crontab，软链接，/etc/passwd密码爆破、pcap包分析、php语言、lua语言、python语言、c语言、正则表达式、TOCTOU（文件访问竞态条件漏洞）、GDB调试、strace跟踪、文件描述符、资源未释放漏洞、父子进程等。

通过本系列的挑战可以很快的入门linux在信息安全方向的实践。

下面先来介绍下如何使用Nebula。

Nebula权限最后的账户是nebula，密码也是nebula.如果某一关涉及到修改系统配置，那么我们可以通过切换到nebula/nebula来修改。

一般情况下，对于对应的关卡，我们登录levelxx/levelxx后进入/home/flagxx目录开始挑战。假设我们挑战第二关，则登录level02/level02，进入/home/flag02。如果我们能够在shell中执行getflag命令或者出现

则表明挑战成功。

如果要接着跳转下一关，则可以使用su切换，比如进入第三关，则输入

Sulevel03，level03即可。

需要从源码中寻找漏洞的关卡，其源码都在对应的页面，查看即可。（https://exploit-exercises.com/nebula/levelxx）

因Nebula涉及关卡较多，知识点错综复杂，加之本人能力有限，参考了国内外许多大牛的博客，参考链接一并在文末给出。

接下来开始正式的通关之旅。

00

题目提示需要查找以”flag00”账户运行的设置了SUID的程序，并提示我们可以从跟目录开始查找

找到了了之后执行这个程序，我们这个用户“level00”就或者“flag00”的权限，也就可以getflag了

那么怎么找到符合要求的程序呢？

首先切换到根目录

由于我们目前的登录的是level00，在搜索没有权限进入的目录时会出错，所以为了避免干扰需要将错误信息输入到/dev/null中，linux下标准输入输出错误分别为0,1,2,所以我们在搜索命令后加上2>/dev/null

运行第一个

此时已经获得与flag00相同的权限

执行getflag

通关

01

题目提示，代码存在的漏洞可以导致任意程序被执行

我们先正常情况下执行flag01

根据输出定位到第17行，可以看到程序是调用了system执行命令。此处存在的漏洞在于echo程序不是程序直接指定的，而是由env定位找到，然后执行echo后面的字符串andnowwhat？env是在环境变量$PATH中寻找env的，如果我们修改了$PATH,就可以欺骗env，继而使得代码中的system执行我们的命令。

首先将/tmp/echo链接到/bin/getflag

修改环境变量，将tmp路径放在前面，这样tmp优先被找到

这样设置之后，当env寻找echo时会先找到tmp处的echo，而此处的echo链接到了/bin/getflag

切换目录，执行程序看看效果

通过

02

题目提示我们，该代码允许任意程序被执行

我们要想通关自然就是要执行getflag啦

我们先执行程序看看

根据输出我们定位到22行处的代码，使用getenv()获取环境变量user的值，然后与前面的字符串拼接在一起，然后通过23行system执行，输出。如果我们修改了环境变量user的值，自然也就相当于修改了system的参数。在正常情况下，system执行的是/bin/echo，如果我们传进的user是“;/bin/getflag”，拼接起来就相当于/bin/echo;/bin/getflagis cool，那么我们就可以通关了。

接下来我们首先修改环境变量user然后执行