Linux - 使用setuid位进行提权

最新推荐文章于 2025-01-19 00:24:21 发布
最新推荐文章于 2025-01-19 00:24:21 发布
阅读量1.5k 收藏 1
点赞数
分类专栏: Unix Like HPC # CAD
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/thesre/article/details/118313886
版权

Linux - 使用setuid位进行提权

业务需求

设计一个计分程序,程序文件的owner=thesre;计分文件的owner=thesre,mode=644。
要求:

  • 该计分程序可以被其它非root账号执行,并对计分文件进行更新;

分析需求

由于计分文件的权限为644,只能被其owner更新。而上述要求中,又提到说其它非root账号通过执行该计分程序对计分文件进行更新。
这里,我们就要利用setuid的优势来完成该程序的开发了。

setuid能做什么

简单地说setuid,就是运行程序时,能够临时将权限提升至程序owner的权限,然后做一些只有程序owner才能有权限的操作。
像普通用户执行passwd修改密码、执行at命令设置一次性定时任务,都是利用这个原理来实现提权的操作。

下面我们就来看看本需求的代码实现。

代码

/* filename: caber-toss.c */
#include <stdio.h>
#include <sys/types.h>
#include <unistd.h>
#include <stdlib.h>


/* Remember the effective and real UIDs. */
static uid_t euid, ruid;
char* SCORES_FILE = "/tmp/scores.txt";
char* cuserid(char *string);

/* Restore the effective UID to its original value. */
void
do_setuid (void)
{
  int status;

#ifdef _POSIX_SAVED_IDS
  status = seteuid (euid);
#else
  status = setreuid (ruid, euid);
#endif
  if (status < 0) {
    fprintf (stderr, "Couldn't set uid.\n");
    exit (status);
  }
}


/* Set the effective UID to the real UID. */
void
undo_setuid (void)
{
  int status;

#ifdef _POSIX_SAVED_IDS
  status = seteuid (ruid);
#else
  status = setreuid (euid, ruid);
#endif
  if (status < 0) {
    fprintf (stderr, "Couldn't set uid.\n");
    exit (status);
  }
}


/* Record the score. */
int
record_score (int score)
{
  FILE *stream;
  char *myname;

  /* Open the scores file. */
  do_setuid ();
  stream = fopen (SCORES_FILE, "a");
  undo_setuid ();

  /* Write the score to the file. */
  if (stream) {
      myname = cuserid (NULL);
      if (score < 0)
        fprintf (stream, "%10s: Couldn't lift the caber.\n", myname);
      else
        fprintf (stream, "%10s: %d feet.\n", myname, score);
      fclose (stream);
      return 0;
  }
  else
    return -1;
}


/* Main program. */
int
main (int argc, char *argv[])
{
  int feet_in_int;
  /* Parse arguments */
  if ( argc == 2 ) {
    feet_in_int = atoi(argv[1]);
    printf ("You're adding %d feet.\n", feet_in_int);
  }
  else {
    printf ("# of args is wrong.\n");
    exit(-1);
  }
  /* Remember the real and effective user IDs.  */
  ruid = getuid ();
  euid = geteuid ();
  printf ("Current ruid is %d, euid is %d\n", ruid, euid);
  undo_setuid ();

  /* Do the game and record the score with checking exception.  */
  if (record_score (feet_in_int) == -1) {
    printf("Error: failed to write file %s.\n", SCORES_FILE);
  }
}

编译

thesre@HP-Z420-Workstation:~/c_programming$ gcc -o ./caber-toss caber-toss.c 
thesre@HP-Z420-Workstation:~/c_programming$ ls -al ./caber-toss
-rwxrwxr-x 1 thesre thesre 17408 6月  28 22:34 ./caber-toss

测试

程序文件未加setuid

thesre@HP-Z420-Workstation:~/c_programming$ ls -al ./caber-toss
-rwxrwxr-x 1 thesre thesre 17408 6月  28 22:34 ./caber-toss

thesre账号运行,

thesre@HP-Z420-Workstation:~/c_programming$ ./caber-toss 2
You're adding 2 feet.
Current ruid is 1000, euid is 1000
thesre@HP-Z420-Workstation:~/c_programming$ cat /tmp/scores.txt
    thesre: 2 feet.
thesre@HP-Z420-Workstation:~/c_programming$ ls -al /tmp/scores.txt
-rw-rw-r-- 1 thesre thesre 20 6月  28 22:35 /tmp/scores.txt

thesre02(非计分文件owner)运行,可以是看到更新失败的!

thesre02@HP-Z420-Workstation:~$ id
用户id=1002(thesre02) 组id=1002(thesre02)=1002(thesre02)
thesre02@HP-Z420-Workstation:~$ ~thesre/c_programming/caber-toss 5
You're adding 5 feet.
Current ruid is 1002, euid is 1002
Error: failed to write file /tmp/scores.txt.
thesre02@HP-Z420-Workstation:~$

程序文件加setuid

thesre@HP-Z420-Workstation:~/c_programming$ chmod u+s ./caber-toss
thesre@HP-Z420-Workstation:~/c_programming$ ls -al ./caber-toss
-rwsrwxr-x 1 thesre thesre 17408 6月  28 22:34 ./caber-toss

thesre账号运行,

thesre@HP-Z420-Workstation:~/c_programming$ ./caber-toss 10
You're adding 10 feet.
Current ruid is 1000, euid is 1000
thesre@HP-Z420-Workstation:~/c_programming$ cat /tmp/scores.txt
    thesre: 2 feet.
    thesre: 10 feet.
thesre@HP-Z420-Workstation:~/c_programming$

thesre02(非计分文件owner)运行,这次我们成功地将/tmp/scores.txt文件更新!!!

thesre@HP-Z420-Workstation:~/c_programming$ su - thesre02
Password: 
thesre02@HP-Z420-Workstation:~$ ~thesre/c_programming/caber-toss 20
You're adding 20 feet.
Current ruid is 1002, euid is 1000
thesre02@HP-Z420-Workstation:~$ cat /tmp/scores.txt
    thesre: 2 feet.
    thesre: 10 feet.
  thesre02: 20 feet.
thesre02@HP-Z420-Workstation:~$

参考资料

https://www.gnu.org/software/libc/manual/html_node/Setuid-Program-Example.html

https://en.wikipedia.org/wiki/Setuid

https://man7.org/linux/man-pages/man2/setuid.2.html

CVE-2022-0847(脏管道、内核漏洞)
墨痕诉清风的博客
06-22 4367
摘要 CVE-2022-0847它是自 5.8 以来 Linux 内核中的一个漏洞,它允许覆盖任意只读文件中的数据。这会导致升,因为非特进程可以将代码注入根进程。它类似于 Dirty COW (CVE-2016-5195),但更容易被利用。内核影响版本:5.8 ...............
linux
weixin_44268185的博客
08-20 344
【代码】linux
suidlinux
weixin_68652890的博客
04-15 1096
suid suid(设置用户的id)是Linux中的一种特殊限,当运行具有suid限的二进制文件的时候,使得调用者暂时获得该文件拥有者的限(比如a文件拥有者是root,且被赋予了s限,当我们用另外一个普通用户调用a文件的时候,调用过程中这个普通用户会获得root限) 除了经常看见的rwx限还有s限 s限,设置使文件在执行阶段具有文件所有者的限,相当于临时拥有文件所有者的身份。 SUID 当执行的文件被赋予了s限,就被称为Set UID,简称为SUID的特殊限。简称为SUID的特殊
Linux文件限;ACL;Setuid、Setgid、Stick bit特殊限;sudo
weixin_34221112的博客
07-23 346
相关学习资料 http://blog.sina.com.cn/s/blog_4e2e6d6a0100g47o.html http://blog.youkuaiyun.com/aegoose/article/details/25439649 http://www.linuxeden.com/html/unix/20071031/36892.html http://keren.blog.51cto.c...
katana(武士刀)setuid
m0_66299232的博客
10-08 776
6.发现没有反应,抓包查看,这里的请求方式是get ,那么木马就传不上去,放弃这条路;1.用python回弹一个交互式shell,发现家目录下一个.ssh_passwd。这里直接用python来并且setuid(0)直接进入root,成功拿下!8.发现这里将上传目录变更,/opt 目录是一个大型软件安装目录,表示怪异。探测8088端口下的目录,发现有upload.html。9.尝试触发木马,尝试好多端口都不行,只有8715可以。探测目标靶机开放的端口和服务,端口一大堆。
linux】利用setuid进行简单
question55的博客
12-24 657
但是SUID限的设置只针对二进制可执行文件,对于非可执行文件设置SUID没有任何意义,在执行过程中,调用者会暂时获得该文件的所有者限,且该限只在程序执行的过程中有效. 通俗的来讲,假设我们现在有一个。SUID (Set UID)是Linux中的一种特殊限,其功能为用户运行某个程序时,如果该程序有SUID限,那么程序运行为进程时,进程的属主。,我们可在非root用户下运行该二进制可执行文件,在执行文件时,该进程的限将为root限。
浅议Linux中的SetUID
12-17 1870
浅议Linux中的SetUID限 (2011-01-14 13:16) 1什么是SetUID      我们知道,在linux的命令行下执行“ps”命令时,就会列出当前系统中的所有进程,在其中可以看到每个进程都和用户的真实id关联,实际上,Linux中的每个进程还跟一个称为有效用户id(set User id)紧密关联。前者用于表示该进程由那个用户控制,后者用于为
Linux-70种sudo汇总
LINGX5的博客
08-29 1544
命令有 sudo 的限,我们该如何进行呢?跟着红队笔记大佬,汇总了一下当我们有sudo -l时,70条命令可以的sudo风暴视频连接: https://www.bilibili.com/video/BV1DV4y1U7bT/?
Linux-02 sudo
weixin_45626840的博客
01-19 899
执行限继承:当用户执行sudo后面跟随的命令时,这个命令会继承sudo的限。在这种情况下,虽然用户是普通用户,但由于sudo在以root用户的身份执行,随后的命令则也可以在root限下运行。设置setuid限:sudo程序本身被设置了setuid属性,这意味着当任何用户执行这个程序时,它会以程序拥有者(通常是root)的限运行。限配置不当,如果这些可执行文件本身又可以调用其他可执行文件,或者可以更改系统的一些配置选项,就可以达到的目的。
Linux使用suid vim.basic文件实现
09-14
Linux系统中,SUID(Set-User-Id)是一种特殊限,允许普通用户执行某个程序时临时获得文件所有者的限。这种机制主要用于系统管理工具,例如`passwd`,使得用户能够更改自己的密码,即使他们没有`/etc/shadow`...
setuid setgid root 升 android root su
RICH的专栏
02-12 8912
http://hi.baidu.com/3444542/item/accca93819c7555880f1a764 关于chmod限设置的讲解 来自: http://topic.youkuaiyun.com/t/20050707/10/4128418.html 以前每次看鸟哥的书这一切都跳过,这回铁匠GOOGLE收集到的一看就明白,特此收藏 chmod   xxxx四数是标准写法,
Linux中的setuid
qq_46140800的博客
06-06 2703
最近在看面试题的时候看到setuid,记忆不是那么深刻,所以记下来。 关于ruid和euid 首先我们要知道Linux中ruid和euid的概念 进程中都会有ruid和euid。 ruid(real user ID): ruid可以理解为真实用户ID,当前用户执行,则ruid就是当前用户。 euid(effective user ID): 当进程执行时间,操作系统会对euid进行识别,以此来判断到底用什么限来执行这个进程。 也就是说操作系统实际上是通过判断进程的euid来给予限,然而在大多数情况下,eu
linux系统suid
focus on security
05-19 5791
SUID 0x01什么是SUID ​ SUID (Set UID)是Linux中的一种特殊限,其功能为用户运行某个程序时,如果该程序有SUID限,那么程序运行为进程时,进程的属主不是发起者,而是程序文件所属的属主。但是SUID限的设置只针对二进制可执行文件,对于非可执行文件设置SUID没有任何意义. ​ 在执行过程中,调用者会暂时获得该文件的所有者限,且该限只在程序执行的过程中有效. 通俗的来讲,假设我们现在有一个可执行文件ls,其属主为root,当我们通过非root用户登录时,如果
【网络攻防】Linux(待更)
青山的青衫的博客
12-12 672
使用 cat 命令,因为 cat 命令被劫持成了 /bin/bash,就变成了 system("/bin/bash /etc/shadow),这个文件又是 SUID 文件以 root 限执行,就直接切换至了 root 用户。suid(set uid)是一种特殊限,具有这种限的文件在执行时会使调用者暂时获得该文件拥有者的限。把当前目录加入到环境变量,比如我选择/tmp目录,这个添加是临时的,当终端关闭时又会恢复原来的样子。在bash中有特殊含义(代表代码块的结束),需要转义。
列出linux所有suid程序,Linux如何利用可执行文件SUID
weixin_29515317的博客
05-02 841
PATH是Linux和类Unix操作系统中的环境变量,它指定存储可执行程序的所有bin和sbin目录。当用户在终端上运行任何命令时,它会通过PATH变量来响应用户执行的命令,向shell发送请求以搜索可执行文件。超级用户通常还具有/ sbin和/ usr / sbin条目以便于执行系统管理命令。SUID属性一般用在可执行文件上,当用户执行该文件时,会临时拥有该执行文件的所有者限。一旦程序拥有SU...
Linux-代码中如何升文件限?
一只青木呀
10-16 732
Linux-代码中如何升文件限?1、代码中升文件限 1、代码中升文件限 在我们代码的运行中,比如想改我们当前系统用户的密码,那可不可以改呢? 当然可以,但是密码记录在根目录下,这个目录下我们是没有限去更改的,那为什么我们调用“passwd”能够更改成功呢? 原因就是当我们调用passwd这个命令的时候,这个程序就临时拥有了文件拥有者属性,也就是root属性,此时我们也就可以更改了。 如何判断程序是否有临时升为文件拥有者限的属性呢? 如下图,还是以passwd为例: 在这里我们发现我们一般
用户如何
cmdd_的博客
07-31 1197
文章目录1. 用户概述2. 用户的工作环境相关文件3. su命令切换用户4. sudo用户5. sudo设置组6. sudo设置案例 1. 用户概述 1. su 使用普通用户登录,然后执行su命令切换到root用户 优点:简单 缺点:需要知道root密码 2. sudo 使用普通用户管理,当需要使用root的限的时候,进行 优点:安全、方便 缺点:复杂 shell的分类及执行的过程 交互式shell #终端操作 输入一条指令,需要等待系统的
LINUX入门手册
XINO
02-12 1433
简单介绍一下LINUX的大体结构和知识点
Linux--SUID&内核漏洞本地用户
金灰的博客
04-29 967
免责声明:本文仅做技术交流与学习,请不要乱搞破坏...
rocky linux使用suid
最新发布
04-01
<think>好的,我现在需要帮助用户了解在Rocky Linux中如何利用SUID进行升。首先,我需要回顾一下SUID的基本概念,确保自己理解正确。SUID(Set User ID)是一种特殊限,当设置在一个可执行文件上时,无论谁运行该文件,它都会以文件所有者的限执行。例如,/usr/bin/passwd就有SUID设置,这样普通用户修改密码时能临时获得root限。 接下来,用户的具体问题是关于Rocky Linux的SUID教程。我应该先解释SUID的作用机制,再逐步指导如何查找具有SUID限的文件,然后分析这些文件是否可能被利用。常见的可利用的SUID程序包括bash、find、vim等,如果这些程序有SUID,可能被用来限。 需要确保步骤清晰,用户能够一步步跟随操作。例如,使用find命令搜索SUID文件:find / -perm -4000 2>/dev/null。然后列举一些常见的可利用命令,并说明如何利用它们执行操作,比如使用find的exec参数执行命令,或者通过bash -p获取root shell。 同时,必须醒用户注意升的合法性,只能在授的环境中进行测试。此外,需要到防范措施,比如定期检查SUID文件,删除不必要的SUID限,使用最小限原则等。 在回答中,还需要引用供的参考资料。例如,引用[3]中到了SUID的作用和示例,引用[1]中的chmod命令设置SUID限,这些都可以用来支持解释。引用[4]中的例子展示了以root身份执行代码的情况,可以说明SUID的实际效果。 最后,生成相关问题,帮助用户进一步学习,比如如何检测系统中的SUID文件,或者SUID与SGID的区别等。要确保问题相关且有引导性,促进用户深入理解。 需要检查是否有技术错误,比如命令是否正确,步骤是否可行。例如,使用find命令时,参数是否正确,是否有处理错误输出的重定向。另外,到的示例是否适用于Rocky Linux,因为Rocky是基于RHEL的,可能与Ubuntu有些不同,但SUID机制是通用的,所以应该没问题。 总结回答的结构:先介绍SUID概念,然后步骤分解,包括查找文件、分析利用、示例演示,接着是防范措施,最后相关问题。确保每个部分逻辑清晰,语言简洁,符合用户要求的中文回答,并且正确使用LaTeX格式标注行内公式(如果有的话,但当前问题可能不需要数学公式,不过需检查是否有需要的地方)。</think>### Rocky Linux SUID原理与实现 SUID(Set User ID)是Linux系统中三种特殊限之一,当可执行文件设置SUID后,执行该文件时会以文件所有者的身份运行[^3]。该特性常用于需要临时限的系统工具(如$passwd$命令),但也可能成为攻击者升的入口。 --- ### 一、SUID实施步骤 #### 1. 查找SUID文件 ```bash find / -perm -4000 2>/dev/null # 搜索所有SUID限文件 ``` 关键结果示例: ```bash /usr/bin/bash /usr/bin/find /usr/bin/vim /usr/bin/cp ``` #### 2. 分析可利用程序 常见危险SUID程序: - **find**:可通过`-exec`参数执行命令 - **bash**:使用`bash -p`可保留特 - **vim**:通过`:!bash`启动shell - **cp**:覆盖敏感文件如/etc/passwd #### 3. 操作示例 **▌ 通过find** ```bash touch testfile find testfile -exec whoami \; # 显示当前执行身份 find testfile -exec /bin/bash -p \; # 获取root shell ``` **▌ 通过bash** ```bash bash -p # 启动特shell id # 验证uid=0(root) ``` **▌ 通过vim** ```bash vim /anyfile :!bash -p # 在vim中启动shell ``` --- ### 二、防御措施 1. **限审计**:定期执行`find / -perm -4000`检查 2. **最小化原则**:使用`chmod u-s filename`移除非必要SUID限[^1] 3. **命名空间隔离**:容器环境中限制root限传播[^4] 4. **系统更新**:及时修复类似CVE-2015-1328的本地漏洞[^2] ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

王万林 Ben

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值