博客
关于我
system()函数的setuid程序得不到root的权限;system()函数的suid失效问题
阅读量:201 次
发布时间:2019-02-28

本文共 2177 字,大约阅读时间需要 7 分钟。

system()函数的setuid程序得不到root的权限;system()函数的suid失效问题

相关背景:

老师上课讲了setuid程序;但是在调用system()函数时setuid不起作用

相关文章:


问题描述:

对调用system()函数的程序catall.c 如下;当设置根用户setuid权限后,理想情况下这个程序应该运行 /bin/cat 程序,可以查看所有的文件,但不能写入任何文件

/* catall.c */#include 
#include
#include
int main(int argc, char const *argv[]){ char *cat = "/bin/cat"; if(argc<2) { printf("please type a file name.\n"); return 1; } char *command = malloc(strlen(cat) + strlen(argv[1] + 2)); sprintf(command,"%s %s",cat,argv[1]); system(command); return 0;}
ppt 上的运行示例:可以成功拿到root权限,查看/etc/shadow 文件

在这里插入图片描述

实际运行结果:还是显示permission denied。。。明明前面 ls -l 显示属主是 root 且运行位是 s。。。说明这里的 setuid不起作用了。

在这里插入图片描述

最离谱的是,同一程序的系统调用,使用不同的函数,结果不一样,函数 execve() 的系统调用可以照常拿到 root 权限

在这里插入图片描述
在这里插入图片描述


原因分析:

linux 上直接 man system,得到的解释是:

DESCRIPTION   The  system()  library  function uses fork(2) to create a child process that   executes the shell command specified in command using execl(3) as follows:       execl("/bin/sh", "sh", "-c", command, (char *) NULL);   system() returns after the command has been completed.   During execution of the command, SIGCHLD will be  blocked,  and  SIGINT  and   SIGQUIT will be ignored, in the process that calls system().  (These signals   will be handled according to their defaults inside the  child  process  that   executes command.)   If  command  is  NULL,  then  system() returns a status indicating whether a   shell is available on the system.

应该就是fork一个子进程,然后调用execl("/bin/sh", “sh”, “-c”, command, (char *) NULL); 去执行命令。

直接用 execl() 函数试一下

在这里插入图片描述

在这里插入图片描述

下面显示有euid=0,说明execve() 拿到 root 执行权限,而上面 execl() 跟system() 一样没有执行位权限

这里再试一下 execl() 函数直接用 /bin/id 不通过 /bin/shell;
在这里插入图片描述
在这里插入图片描述
execl() 函数拿到了 root 的执行权限 euid=0;所以问题应该在/bin/sh 上。应该是setuid程序不能将root权限传给/bin/sh;很容易理解,因为这样非常不安全

老师PPT中有解释

在Ubuntu 16.04中,/bin/sh指向/bin/dash,这有一个对策:当它在set-uid进程中执行时,它将删除特权。因此,在以上的攻击中,我们只会得到一个普通shell

A Note

• In Ubuntu 16.04, /bin/sh points to /bin/dash, which has a countermeasure
• It drops privilege when it is executed inside a set-uid process
• Therefore, we will only get a normal shell in the attack on the previous slide


解决方案:

Do the following to remove the countermeasure

在这里插入图片描述
这里将 /bin/sh指向 /bin/zsh;
zsh是一个功能强大的shell,笔者由于没有安装zsh,就没有试过。安装之后应该解决完成问题

转载地址:http://hfhc.baihongyu.com/

你可能感兴趣的文章
MySQL 数据库操作指南:学习如何使用 Python 进行增删改查操作
查看>>
MySQL 数据库的高可用性分析
查看>>
MySQL 数据库设计总结
查看>>
Mysql 数据库重置ID排序
查看>>
Mysql 数据类型一日期
查看>>
MySQL 数据类型和属性
查看>>
mysql 敲错命令 想取消怎么办?
查看>>
Mysql 整形列的字节与存储范围
查看>>
mysql 断电数据损坏,无法启动
查看>>
MySQL 日期时间类型的选择
查看>>
Mysql 时间操作(当天,昨天,7天,30天,半年,全年,季度)
查看>>
MySQL 是如何加锁的?
查看>>
MySQL 是怎样运行的 - InnoDB数据页结构
查看>>
mysql 更新子表_mysql 在update中实现子查询的方式
查看>>
MySQL 有什么优点?
查看>>
mysql 权限整理记录
查看>>
mysql 权限登录问题:ERROR 1045 (28000): Access denied for user ‘root‘@‘localhost‘ (using password: YES)
查看>>
MYSQL 查看最大连接数和修改最大连接数
查看>>
MySQL 查看有哪些表
查看>>
mysql 查看锁_阿里/美团/字节面试官必问的Mysql锁机制,你真的明白吗
查看>>