在Linux中使用环境变量进行提权

在这篇文章中，我将会为大家介绍一些使用环境变量进行Linux提权的方法，包括在CTF challenges中使用到一些的技术。话不多说，让我们进入正题！

介绍

PATH是Linux和类Unix操作系统中的环境变量，它指定存储可执行程序的所有bin和sbin目录。当用户在终端上执行任何命令时，它会通过PATH变量来响应用户执行的命令，并向shell发送请求以搜索可执行文件。超级用户通常还具有/sbin和/usr/sbin条目，以便于系统管理命令的执行。

使用echo命令显示当前PATH环境变量：

/usr/local/bin:/usr/bin:/bin:/usr/local/games:/usr/games

如果你在PATH变量中看到‘.’，则意味着登录用户可以从当前目录执行二进制文件/脚本，这对于攻击者而言也是一个提权的绝好机会。这里之所以没有指定程序的完整路径，往往是因为编写程序时的疏忽造成的。

方法1

Ubuntu LAB SET_UP

当前，我们位于/home/raj目录，我们将在其中创建一个名为/script的新目录。在script目录下，我们将编写一个小型的c程序来调用系统二进制文件的函数。

正如你在demo.c文件中看到的，我们正在调用ps命令。

然后使用gcc编译demo.c文件，并提升编译文件的SUID权限。

受害者VM机器

假设我们已经成功渗透目标，并进入提权阶段。我们通过ssh成功登录到了受害者的机器。然后使用Find命令，搜索具有SUID或4000权限的文件。

通过上述命令，攻击者可以枚举出目标系统上所有的可执行文件，这里可以看到/home/raj/script/shell具有SUID权限。

进入到/home/raj/script目录，可以看到该目录下有一个可执行的“shell”文件，我们运行这个文件。

Echo命令

Copy命令

Symlink命令

注意：符号链接也叫软链接，如果目录具有完全权限，则它将成功运行。在Ubuntu中symlink情况下，我们已经赋予了/script目录777的权限。

因此，攻击者可以操纵环境变量PATH来进行提权，并获得root访问权限。

方法2

Ubuntu LAB SET_UP

重复上述步骤配置你的实验环境，现在在脚本目录中，我们将编写一个小型的c程序来调用系统二进制文件的函数。

正如你在demo.c文件中看到的，我们正在调用id命令。

然后使用gcc编译demo.c文件，并提升编译文件的SUID权限。

受害者VM机器

同样，假设我们已经成功渗透目标，并进入提权阶段。我们通过ssh成功登录到了受害者的机器。然后使用Find命令，搜索具有SUID或4000权限的文件。在这里，我们可以看到/home/raj/script/shell2具有SUID权限。

进入到/home/raj/script目录，可以看到该目录下有一个可执行的“shell2”文件，我们运行这个文件。

Echo命令

方法3

Ubuntu LAB SET_UP

重复上述步骤配置你的实验环境。正如你在demo.c文件中看到的，我们正在调用cat命令从etc/passwd文件中读取内容。

然后使用gcc编译demo.c文件，并提升编译文件的SUID权限。

受害者VM机器

同样，假设我们已经成功渗透目标，并进入提权阶段，通过执行以下命令查看sudo用户列表。

在这里，我们可以看到/home/raj/script/raj具有SUID权限，进入到home/raj/script/目录，可以看到该目录下有一个可执行的“raj”文件。所以当我们运行这个文件时，它会把etc/passwd文件作为输出结果。

Nano**编辑器**

现在，当终端打开时输入/bin/bash并保存。

方法4

Ubuntu LAB SET_UP

重复上述步骤配置你的实验环境。正如你在demo.c文件中看到的，我们正在调用cat命令读取/home/raj中的msg.txt中的内容，但/home/raj中并没有这样的文件。

然后使用gcc编译demo.c文件，并提升编译文件的SUID权限。

受害者VM机器

同样，假设我们已经成功渗透目标，并进入提权阶段，通过执行以下命令查看sudo用户列表

在这里，我们可以看到/home/raj/script/ignite具有SUID权限，进入到/home/raj/script目录，可以看到该目录下有一个可执行的“ignite”文件。所以当我们运行这个文件时，它会报错“cat: /home/raj/msg.txt”文件或目录不存在。

Vi编辑器

现在，当终端打开时输入/bin/bash并保存。

*参考来源：hackingarticles，FB小编 secist 编译，转载请注明来自FreeBuf.COM