基础漏洞I set-UID 定义\用法\攻击;权限泄漏;程序调用;
文章目录
一、 set-UID 概念
Linux 系统,最常见的文件权限有 3 种,除此之外,我们有时会看到 s(针对可执行文件或目录,使文件在执行阶段,临时拥有文件所有者的权限)和 t(针对目录,任何用户都可以在此目录中创建文件,但只能删除自己的文件),文件设置 s 和 t 权限,会占用 x 权限的位置。
seed@seed-virtual-machine:~$ ls -l /usr/bin/passwd
-rwsr-xr-x 1 root root 68208 5月 28 2020 /usr/bin/passwd
seed@seed-virtual-machine:~$ ll /etc/shadow
-rw-r----- 1 root shadow 1666 1月 10 23:00 /etc/shadow
原本表示文件所有者权限中的 x 权限位,出现了 s 权限,此种权限通常称为 SetUID,简称 SUID 特殊权限。SUID 特殊权限仅适用于可执行文件,所具有的功能是,只要用户对设有 SUID 的文件有执行权限,那么当用户执行此文件时,会以文件所有者的身份去执行此文件,一旦文件执行结束,身份的切换也随之消失。
SUID 特殊权限具有如下特点:
- 只有可执行文件才能设定 SetUID 权限,对目录设定 SUID,是无效的。
- 用户要对该文件拥有 x(执行)权限。
- 用户在执行该文件时,会以文件所有者的身份执行。
- SetUID 权限只在文件执行过程中有效,一旦执行完毕,身份的切换也随之消失。
举一个例子,Linux 系统中所有用户的密码数据都记录在 /etc/shadow 这个文件中,通过 ll /etc/shadow 命令可以看到,此文件的权限是 0(---------),也就是说,普通用户对此文件没有任何操作权限。这就会产生一个问题,为什么普通用户可以使用 passwd 命令修改自己的密码呢?
本节开头已经显示了 passwd 命令的权限配置,可以看到,此命令拥有 SUID 特殊权限,而且其他人对此文件也有执行权限,这就意味着,任何一个用户都可以用文件所有者,也就是 root 的身份去执行 passwd 命令。Linux 系统中,绝对多数命令的文件所有者默认都是 root。
当普通用户使用 passwd 命令尝试更改自己的密码时,实际上是在以 root 的身份执行passwd命令,正因为 root 可以将密码写入 /etc/shadow 文件,所以普通用户也能做到。只不过,一旦命令执行完成,普通用户所具有的 root身份也随之消失。
1-1、RUID & EUID 概念
每一个进程都有三个用户相关的ID,实际UID、有效UID、保存的set-user-ID:
- 进程的实际UID确定了进程所属的用户,也就是代表了这个进程的创建者ID。
- 进程的有效用户ID是指进程目前实际有效的用户ID,euid主要用来校验权限,当我们要判断一个进程是否能够访问某一个资源的时候是用euid来进程判断而不是ruid。
- 通常,实际用户ID和有效用户ID是一样的,但是如果二进制可执行文件设置了set-user-ID的话那么运行时进程的有效用户ID会被设置成可执行文件的所有者ID。
- Real UID (RUID): Identifies real owner of process;
- Effective UID (EUID): Identifies privilege of a process
- Access control is based on EUID
- When a normal program is executed, RUID = EUID, they both equal to the ID of the user who runs the program
- When a Set-UID is executed, RUID ≠ EUID. RUID still equal to the user’s ID, but EUID equals to the program owner’s ID.
- If the program is owned by root, the program runs with the root privilege.
二、Set-UID 用法
# Change the owner of a file to root :
seed@seed-virtual-machine:~/workspace$ cp /bin/cat ./mycat
seed@seed-virtual-machine:~/workspace$ sudo chown root mycat
seed@seed-virtual-machine:~/workspace$ ls -l mycat
-rwxr-xr-x 1 root seed 43416 3月 15 20:33 mycat
# Before EnablingSet-UID bit: Not a privileged program
seed@seed-virtual-machine:~/workspace$ ./mycat /etc/shadow
./mycat: /etc/shadow: Permission denied
# After Enabling the Set-UID bit:Become a privileged program
seed@seed-virtual-machine:~/workspace$ sudo chmod 4755 mycat
seed@seed-virtual-machine:~/workspace$ ./mycat /etc/shadow
root:$6$JgvNX2LwiWEBovwx$vyACI.SVidD.KjBi2bePmonSf3vTQAYUaurIm7T02iCASXjfniLWldpGqClTCpm0fM/YMaYU/4I9GAReejny2/:18586:0:99999:7:::
daemon:*:18474:0:99999:7:::
bin:*:18474:0:99999:7:::
# It is still a privileged program, but not the rootprivilege
# 这里suid位设置的是属主cherry,而不是root
seed@seed-virtual-machine:~/workspace$ sudo chown seed mycat
seed@seed-virtual-machine:~/workspace$ chmod 4755 mycat
seed@seed-virtual-machine:~