linux环境变量提权

介绍

在Linux系统中的PATH是一个环境变量，它指定了存储所有可执行程序的 bin 和 sbin 目录。当用户在终端运行任何命令时，系统会根据环境变量来查找可执行文件以及用户执行的命令。

利用

当前用户是www-data 提权到 john

查看可以提权的用户

cat /etc/passwd | grep /bin/bash

发现有三个用户root，darkhole，john

查看一下列出当前目录下的所有文件和目录的信息。toto有suid权限

运行toto，发现toto可执行文件调用了john用户的id命令，有suid的权限就环境变量提权

当进入到权限较低的用户时，查到具有suid权限文件也就上面的toto，那么可以使用echo命令法来获取管理员权限，修改环境变量路径来进行提权

echo "/bin/bash" > /tmp/id 

因为toto执行的id命令， 可以输出将/bin/bash写入到/tmp/id这个文件中，将文件里内容进行覆盖

chmod 777 /tmp/id

再赋予/tmp/id文件777权限，使其对所有用户都开放可读、可写、可执行。权限设置777是最高级别的权限

export PATH=/tmp:$PATH

export PATH修改环境变量 ，将/tmp目录添加到当前用户的PATH环境变量的最开始位置，也就是先找环境变量里第一个的位置也就是/tmp

输入完成后再运行一下toto，查看本地用户已经是john，提权成功

环境变量过程

root给一个可执行文件赋予了suid，而此文件又调用了命令，这时修改PATH把tmp添加到头的位置，系统再执行就会先去tmp目录下找，tmp目录下放的是恶意程序，从而导致恶意程序以root权限运行。

情况:这种情况适用于，给普通用户分配了个可执行程序，且该程序有suid权限，我们又知道该程序会调用哪些命令，那么就可以结合PATH来进行提权。