介绍
在Linux系统中的PATH是一个环境变量,它指定了存储所有可执行程序的 bin 和 sbin 目录。当用户在终端运行任何命令时,系统会根据环境变量来查找可执行文件以及用户执行的命令。
利用
当前用户是www-data 提权到 john
查看可以提权的用户
cat /etc/passwd | grep /bin/bash
发现有三个用户root,darkhole,john
查看一下列出当前目录下的所有文件和目录的信息。toto有suid权限
运行toto,发现toto可执行文件调用了john用户的id命令,有suid的权限就环境变量提权
当进入到权限较低的用户时,查到具有suid权限文件也就上面的toto,那么可以使用echo命令法来获取管理员权限,修改环境变量路径来进行提权
echo "/bin/bash" > /tmp/id
因为toto执行的id命令, 可以输出将/bin/bash写入到/tmp/id这个文件中,将文件里内容进行覆盖
chmod 777 /tmp/id
再赋予/tmp/id文件777权限,使其对所有用户都开放可读、可写、可执行。权限设置777是最高级别的权限
export PATH=/tmp:$PATH
export PATH修改环境变量 ,将/tmp目录添加到当前用户的PATH环境变量的最开始位置,也就是先找环境变量里第一个的位置也就是/tmp
输入完成后再运行一下toto,查看本地用户已经是john,提权成功
环境变量过程
root给一个可执行文件赋予了suid,而此文件又调用了命令,这时修改PATH把tmp添加到头的位置,系统再执行就会先去tmp目录下找,tmp目录下放的是恶意程序,从而导致恶意程序以root权限运行。
情况:这种情况适用于,给普通用户分配了个可执行程序,且该程序有suid权限,我们又知道该程序会调用哪些命令,那么就可以结合PATH来进行提权。