seed-labs 软件部分- 环境变量攻击

最新推荐文章于 2022-06-30 17:12:25 发布
最新推荐文章于 2022-06-30 17:12:25 发布
阅读量746 收藏 4
点赞数 1
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011632676/article/details/117298921
版权

seed-labs 软件部分- 环境变量攻击

环境变量实现攻击

环境变量

环境变量是存储在进程中的一系列动态键值,它们可以影响进程的行为。
当shell进程执行一个程序时,如果该程序的完整路径没有给出,shell将从PATH环境变量提供的目录中寻找该程序。

如何访问环境变量

C语言执行时main函数第三个参数指向了环境变量数组,所以在main()函数中,可以使用envp[]数组来获取环境变量值。
envp数组只能在main()函数中使用。环境变量还可以通过environ这个全局变量来访问,该变量指向环境变量数组。(建议使用environ这个全局变量来访问:环境变量在内存中的位置中讲到)
程序还可以使用getenv(var_name)函数来获取一个具体的环境变量的值。这个函数实际上是在environ数组中搜索指定环境变量的值。程序可以使用putenv()、setenv()和unsetenv()函数来分别增加、修改、删除环境变量。

进程获取环境变量的方式

第一种,如果是一个新建立的进程,即使用fork()系统调用(在UNIX中)生成的进程,这种情况下,子程序的内存是父进程内存的副本,也就是说子进程将继承父进程的所有环境变量。
第二种:如果进程自身通过execve()系统调用运行一个新的程序(而不是在子进程中运行),进程的内存将会被新的程序覆盖,因此进程中存储的所有的环境变量将会丢失。如果进程希望将环境变量传递给新运行的程序,它
execve()函数有三个参数:filename指向要运行的新程序路径,argv包含新程序的所有参数,envp包含新程序的环境变量。
int execve(const char *filename, char *const argv[], char *const envp[])
接下来看一下execve()函数是如何决定进程的环境变量的。
执行了一个名为/usr/bin/env的新程序,该程序打印了当前进程的环境变量。定义个newenv数组,用它作为execve( )函数的第三个参数。也可以用environ和NULL作为第三个参数。

环境变量在内存中的位置

在这里插入图片描述
当1中的环境变量发生改边后,1、2区域可能会出现空间不够的情况,这个时候整个环境变量可能会转移到其它位置,这时候全局变量environ也许做相应的更改才能使environ一直指向环境变量区域。但是envp参数指向的位置却不会改变,所以在这种情况下envp方式它还是指向旧的区域,就获得不了我们想要的环境变量了

环境变量带来的攻击面

在这里插入图片描述

[05/21/21]seed@VM:~/env$ gcc -o hello_dynamic hello.c
[05/21/21]seed@VM:~/env$ ll
total 12
-rw-rw-r-- 1 seed seed   74 May 21 05:19 hello.c
-rwxrwxr-x 1 seed seed 7348 May 21 05:19 hello_dynamic
[05/21/21]seed@VM:~/env$ gcc -static -o hello_static hello.c 
[05/21/21]seed@VM:~/env$ ll
total 724
-rw-rw-r-- 1 seed seed     74 May 21 05:19 hello.c
-rwxrwxr-x 1 seed seed   7348 May 21 05:19 hello_dynamic
-rwxrwxr-x 1 seed seed 728320 May 21 05:20 hello_static
[05/21/21]seed@VM:~/env$ 

案例分析 ld_preload ld_library_path
[05/23/21]seed@VM:~/env$ ls
hello.c  hello_dynamic  hello_static  libmylib.so.1.0.1  mytest  mytest.c  sleep.c  sleep.o
[05/23/21]seed@VM:~/env$

通过外部程序进行攻击

两种攻击方式
一种是exec()函数,最终将使用execve()系统调用外部程序载入内存并执行。
还有就是system()函数,先通过fork() 函数创建子进程,然后用execl()函数运行外部程序,最终调用execve()函数
shell程序会使用很多的外部输入,因此他的攻击面比一般程序要大。
许多环境变量会影响shell程序,最常见的就是PATH
“strings /proc/$$/environ” 可以打印出环境变量
系统的环境变量都/proc这个目录下

[05/26/21]seed@VM:~/env$ strings /proc/$$/environ
XDG_SEAT=seat0
XDG_SESSION_ID=c1
LD_LIBRARY_PATH=/home/seed/source/boost_1_64_0/stage/lib:/home/seed/source/boost_1_64_0/stage/lib:
GIO_LAUNCHED_DESKTOP_FILE_PID=2514
DISPLAY=:0
UPSTART_JOB=unity7
JOB=unity-settings-daemon
COLORTERM=gnome-terminal
GNOME_KEYRING_CONTROL=
GNOME_DESKTOP_SESSION_ID=this-is-deprecated
DEFAULTS_PATH=/usr/share/gconf/ubuntu.default.path
QT_QPA_PLATFORMTHEME=appmenu-qt5
LOGNAME=seed
INSTANCE=
JAVA_HOME=/usr/lib/jvm/java-8-oracle
SHELL=/bin/bash
PATH=/home/seed/bin:/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/usr/games:/usr/local/games:.:/snap/bin:/usr/lib/jvm/java-8-oracle/bin:/usr/lib/jvm/java-8-oracle/db/bin:/usr/lib/jvm/java-8-oracle/jre/bin
IM_CONFIG_PHASE=1
QT4_IM_MODULE=xim
CLUTTER_IM_MODULE=xim
XMODIFIERS=@im=ibus
SESSION=ubuntu
J2REDIR=/usr/lib/jvm/java-8-oracle/jre
SSH_AUTH_SOCK=/run/user/1000/keyring/ssh
UPSTART_EVENTS=xsession started
XDG_SESSION_DESKTOP=ubuntu
GDMSESSION=ubuntu
XAUTHORITY=/home/seed/.Xauthority
QT_IM_MODULE=ibus
GIO_LAUNCHED_DESKTOP_FILE=/usr/share/applications/terminator.desktop
XDG_SESSION_PATH=/org/freedesktop/DisplayManager/Session0
XDG_CONFIG_DIRS=/etc/xdg/xdg-ubuntu:/usr/share/upstart/xdg:/etc/xdg
MANDATORY_PATH=/usr/share/gconf/ubuntu.mandatory.path
UPSTART_SESSION=unix:abstract=/com/ubuntu/upstart-session/1000/1118
DESKTOP_SESSION=ubuntu
XDG_RUNTIME_DIR=/run/user/1000
GTK_IM_MODULE=ibus
GTK_MODULES=gail:atk-bridge:unity-gtk-module
USER=seed
PWD=/home/seed
LIBGL_ALWAYS_SOFTWARE=1
DERBY_HOME=/usr/lib/jvm/java-8-oracle/db
UPSTART_INSTANCE=
TERMINATOR_UUID=urn:uuid:05ec7694-b580-47a3-976c-897002a85944
IBUS_DISABLE_SNOOPER=1
HOME=/home/seed
QT_ACCESSIBILITY=1
ORBIT_SOCKETDIR=/tmp/orbit-seed
XDG_SEAT_PATH=/org/freedesktop/DisplayManager/Seat0
XDG_DATA_DIRS=/usr/share/ubuntu:/usr/share/gnome:/usr/local/share/:/usr/share/:/var/lib/snapd/desktop
LANGUAGE=en_US
COMPIZ_BIN_PATH=/usr/bin/
COMPIZ_CONFIG_PROFILE=ubuntu-lowgfx
XDG_GREETER_DATA_DIR=/var/lib/lightdm-data/seed
LANG=en_US.UTF-8
GTK2_MODULES=overlay-scrollbar
GPG_AGENT_INFO=/home/seed/.gnupg/S.gpg-agent:0:1
SHLVL=0
WINDOWID=60817412
J2SDKDIR=/usr/lib/jvm/java-8-oracle
XDG_VTNR=7
GDM_LANG=en_US
SESSIONTYPE=gnome-session
DBUS_SESSION_BUS_ADDRESS=unix:abstract=/tmp/dbus-CZIABrSpBw
XDG_CURRENT_DESKTOP=Unity
XDG_SESSION_TYPE=x11
GNOME_KEYRING_PID=
QT_LINUX_ACCESSIBILITY_ALWAYS_ON=1
TERM=xterm

os x 动态连接器

DYLD_PRNT_FILE=/etc/sudoers
sudo bob

如果写入 bob ALL=(ALL)NOPASSED:ALL
该字段修改了root保护的/etc/sudoers 文件,导致的结果是bob可以用sudo 指令以root身份运行任何指令,实际上给bob用户root权限

减小攻击面

与system()相比,execve()的攻击面更小
execve()不调用shell,因此不受环境变量的影响
在特权程序中调用外部程序时,应该使用execve()

通过程序库攻击

案例研究—UNIX中的区域设置

每次需要打印出消息时,程序都会使用所提供的库函数来处理已翻译的消息

Unix使用libc库中的gettext()和catopen()

通过代码本身的代码进行攻击

#include <stdio.h>
#include <stdlib.h>

int main(void)
{
    char arr[64];
    char *ptr;

    ptr = getenv("PWD");
    if (ptr != NULL)
    {
        sprintf(arr, "Present working directory is: %s", ptr);
        printf("%s\n", arr);
    }
    return 0;
}

unix 中常见的api 包括 getenv(),setenv(),putenv()
上述程序时获取pwd环境变量信息
在这里插入图片描述

problems

What is the difference between environment variables and shell variables?
shell变量是shell的特定实例(例如shell脚本)的局部变量,而环境变量是由启动的任何程序(包括另一个shell)

In Bash, if we run "export foo=bar", does it change the environment variable of the current process?
不会,只要在程序启动的时候,环境变量才会受影响
大内密探001
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
基础漏洞II 针对环境变量攻击及案例分析 Attack Surface on Environment Variables
CHERRY_cong的博客
03-23 852
针对环境变量攻击及案例分析 Attack Surface on Environment Variables 对环境变量的介绍以及访问&获取方法,在setuid程序的应用等在上一篇博客讲到 环境变量与Shell变量的定义&区别&用法;环境变量的访问&获取&传递 这篇主要讲针对环境变量攻击;尤其是在setuid程序中 Attack Surface on Environment Variables Linker Application library externa
环境变量与SET-UID实验.pdf
10-10
实验主要分为四个部分:管理环境变量、将环境变量从父进程传递给子进程、环境变量与`execve()`函数的关系,以及环境变量在`system()`函数中的应用。 **环境变量管理:** 环境变量是操作系统中存储程序运行上下文...
红帽:Bash 通过特殊环境变量进行代码注入攻击
weixin_33958366的博客
06-12 174
Bash 或Bourne again shell,是一个类UNIX shell 脚本,可能是任何Linux系统中最常见的安装组件。从1980年诞生到现在,bash 已经从一个简单的基于终端的命令解释器演进到诸多其他的奇特用途。 文章转载自 开源中国社区 [http://www.oschina.net] ...
软件安全(二)通过环境变量实现攻击
qq_44109982的博客
12-15 796
环境变量是存储在进程内存中的键值对(name-value pair),用户可以在运行程序前设置环境变量,程序运行时,环境变量会被程序隐式或显示地使用,这为用户通过改变环境变量来影响程序行为提供了可能性 2.1环境变量 访问环境变量: void main(int argc,char * argv[ ],char * envp[]) main函数的第三个参数就指向了环境变量数组,在main函数中,可以使用的envp[ ]数组来获取环境变量值。 此外,还可以通过environ(char * *)这个全局变量来
环境变量相关的shellshock攻击
qq_43674956的博客
01-12 575
环境变量 什么是环境变量 环境变量是存储在进程中的一系列动态键值对,它们可以影响进程的行为。 可以通过局部变量envp获取,只能在main函数中使用 也可以用environ全局变量获取 也可以调用getenv(var_name)来获取 这个函数是在environ数组中搜索 也可以使用putenv(),setenv()和unsetenv()来改变修改和删除环境变量 进程获取环境变量的方式 使用fork()子进程继承父进程的所有环境变量 使用execve()第一个参数是新程序的路径 第二个参数是数组传入新程序的
SEED实验——Environment Variable and Set-UID Program实验报告
weixin_30482181的博客
08-09 1119
任务一:操作环境变量 实验过程一: 用printenv或env打印出环境变量。 在终端输入命令,显示结果如下图所示: 经过实验发现,printenv和env均可输出当前系统的环境变量。不同的是printenv不加参数和env一样,而printenv可以打印指定名称的环境变量。 实验过程二: 使用export或者unset命令设置或去掉环境变量。 任务二:集成环境变量 实验过程:child...
网络攻防课程seed-labs实验-Environment_Variable_and_SetUID.zip
最新发布
06-01
总的来说,"网络攻防课程seed-labs实验-Environment_Variable_and_SetUID.zip"是一个全面且深入的学习资源,它涵盖了环境变量和SetUID权限的关键知识点,并通过实际操作让学习者能够将理论与实践相结合,提升网络...
复旦大学_软件安全_SEED labs_6-Format_String_Server.zip
06-27
这个实验来自雪城大学的SEED Labs,提供了丰富的资源,包括攻击修改代码、实验报告、实验指导书以及相关参考链接,以深入探讨此主题。 格式字符串漏洞通常出现在程序中使用`printf`、`scanf`或`sprintf`等函数时,...
复旦大学_软件安全_SEED labs_3-Environment_Variable_and_SetUID.zip
06-27
在本实验"复旦大学_软件安全_SEED labs_3-Environment_Variable_and_SetUID"中,我们将探讨两个关键的计算机安全概念:环境变量(Environment Variables)和SetUID位(Set User ID)。这两个概念在软件安全领域起着...
复旦大学_软件安全_SEED labs_1-Buffer Overflow实验.zip
06-27
复旦大学的软件安全SEED labs系列实验旨在让学生深入理解这种漏洞及其危害,并学习如何检测和防止它。 在"1-Buffer Overflow实验"中,学生会接触到以下几个关键知识点: 1. **缓冲区溢出原理**:了解当程序处理...
筑原CAD病毒专杀
10-19
.处理病毒 1.acad.lsp 很多以(defun s::startup (/ old_cmd 等开头的lsp病毒代码 中毒后,打开文件自动建立acad.lsp文件等. 2.acaddoc.lsp 以 (setq flagx t) (setq bz "(setq flagx t)")开头lsp代码 中毒后acad.mnl 及cad的support下的所有lsp文件某位都加上此段病毒代码.天正等软件无法启动. 3.acad.fas 版本1 有病毒样本,完美处理. 1.病毒在启动CAD时会弹出一个显示时间并写有“党是不会亏待你”的对话框 2.注册表增加 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\dwgrun 3.增加文件 c:\WINDOWS\system32\copyfile.vbs c:\WINDOWS\system32\copy.sys(acad.fas副本) cad安装目录,很多子目录中有acad.fas和lcm.fas文件. 版本2 本人无病毒样本,网友提供解决方法. 1.注册表增加 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\sys: "C:\WINDOWS\system32\copyfile.vbs" 2.增加文件 系统目录中增加 winsys.ini、winfas.ini、dwgrun.bat cad安装目录,很多子目录中有acad.sys、acad.fas、acad.ini 版本3 有病毒样本,完美处理. 部分根据nonsmall的帖子处理. 1.注册表增加 HKCU\Software\FileKen HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup 写入BEI_ZHU 值 20030214 2.拷贝文件 C:\Program Files\AutoCAD 2004\Fonts\isohztxt.shx (acad.fas副本) C:\WINDOWS\DivX.fin C:\WINDOWS\system32\SHFR.CMD 3.修改文件 acad.mnl文件中间增加 (setvar "cmdecho" 0) (command "slide") 结尾增加 (princ)(if (null stol) (load "lcm" "")) acad.pgp文件中间增加 SLIDE, SHFR, 5, 4.acad.vlx 版本1 有病毒样本,完美处理. 1. 打开图档会自动生成一个acad.vlx的文件 2.CAD目录的acetauto.lsp ai_utils.lsp acad.mnl文件中间被添加 (vl-file-copy(findfile(vl-list->string'(108 111 103 111 46 103 105 102))) (vl-list->string'(97 99 97 100 46 118 108 120))) 3.Help目录增加logo.gif (acad.vlx文件的副本) 版本2 本人无病毒样本,网友提供解决方法. 1.破坏性的acad.vlx,打开CAD图纸,发现图纸上只有一句英文:MUST re_cover!以前画的图全没有了. 2.运行re_cover就可以恢复被打乱隐藏的图纸 3.全盘搜索acad.vlx删除
SEED实验——Environment Variable and Set-UID Program实验描述与实验任务
weixin_30908103的博客
08-09 1000
第一部分:实验描述 该实验的学习任务是理解环境变量是如何影响程序和系统行为的。环境变量是一组动态命名的变量 第二部分:实验任务 2.1 任务一:操作环境变量 在这个任务中,我们研究可以用来设置和取消设置环境变量的命令。我们在seed实验环境中使用Bash。用户使用的默认shell在/etc/passwd文件(每个条目的最后一个字段)中设置。您可以使用命令chsh 将其更改为另一个she...
环境变量劫持
一只web狗
06-30 740
Linux提权
进程相关
mzc的博客
07-22 155
进程创建 //进程创建 // pid_t fork(void); #include <unistd.h> #include<stdio.h> int main(){ printf("hello world\n"); //pid_t fork(void); //创建一个子进程,父进程返回子进程的pid,父进程返回0 pid_t pid=fork(); if...
Linux学习笔记(9)-- System Variables
Techblog of HaoWANG
06-06 410
8.1 UNIX Variables Variables are a way of passing information from the shell to programs when you run them. Programs look "in the environment" for particular variables and if they are found will u...
seed-labs (软件安全-缓冲区溢出攻击)
u011632676的博客
06-10 1306
软件安全-缓冲区溢出攻击缓冲区溢出程序的内存分别栈与函数调用栈的内存布局帧指针栈的缓冲区溢出攻击将数据复制到缓冲区缓冲区溢出环境准备构造输入文件构造shellcodeC语言编写恶意代码构造shellcode的核心方法shellcode 实例防御措施概述problem 缓冲区溢出 了解堆栈布局 易受攻击的代码 开发方面的挑战 外壳代码 对策 程序的内存分别 为了深入了解缓冲区溢出攻击原理,需要了解内存分布,程序运行时需要在内存中存放的数据’ 上图中 text segment (代码段) 程序的可执行代码,这
linux 环境变量设置方法总结(PATH/LD_LIBRARY_PATH)
热门推荐
Coder
11-07 13万+
PATH和LD_LIBRARY_PATH本质都是变量,所谓变量的意思就是由别人赋值产生的,直觉往往会让我们添加和减少这个变量本身的某些路径,实际上这是不正确的。正确的做法是我们要去修改赋予这个变量数值的那些配置文件,加一条路径或者减一条。说到底变量只关乎显示,不关乎其用于显示的内容。 PATH:  可执行程序的查找路径 查看当前环境变量: echo $PATH  设置:
为什么说LD_LIBRARY_PATH不好
Kikim的地盘
12-26 7752
对于一个Unix系统管理员来说,频繁使用LD_LIBRARY_PATH是不好的。 LD_LIBRARY_PATH有什么用 LD_LIBRARY_PATH是一个环境变量,它的作用是让动态链接库加载器(ld.so)在运行时(run-time)有一个额外的选项,即增加一个搜索路径列表。这个环境变量中,可以存储多个路径,用冒号分隔。它的厉害之处在于,搜索LD_LIBRARY_PATH所列路径的
在PHP、Apache环境下部署upload-labs漏洞靶场教程
部署upload-labs是提升Web开发人员安全技能的一个有效手段,通过在实际环境中模拟漏洞,能够帮助开发者更好地理解和应对文件上传漏洞风险。同时,定期更新和测试你的防护措施,保持对最新威胁的认识,是保障网站安全...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值