第21天：PATH 劫持与 Cron 利用 — 自动化陷阱 🕵️‍♂️

Source: Dev.to

PATH 劫持：顺序的力量

Linux 通过搜索 $PATH 变量中列出的目录来查找程序。如果一个由 root 拥有的脚本在调用 tar 时没有使用绝对路径，$PATH 中第一个找到的 tar 将被执行。

利用方式

# 在可写目录（例如 /tmp）中放置一个名为 `tar` 的恶意脚本
export PATH=/tmp:$PATH   # 将 /tmp 预置到 PATH 前面

结果

当特权脚本运行 tar 时，它会调用你在 /tmp 中的伪造 tar，从而让你获得 root shell。

Cron 任务利用

Cron 是 Linux 的调度器。如果 /etc/crontab（或其他系统 crontab）中引用的脚本是全局可写的（-rwxrwxrwx），攻击者可以修改它，以 root 身份执行任意命令。

注入方式

echo "/bin/bash" >> /usr/local/bin/backup.sh

负载

在下次计划运行时（通常在一分钟内），注入的命令将以 root 权限执行。

Cron 中的通配符注入

当 cron 任务使用通配符，例如：

tar -czf backup.tar.gz /home/user/*

攻击者可以创建名称看起来像命令行选项的文件（例如 --checkpoint=1）。这些文件随后会被传递给程序，可能导致其执行意外代码。

关注作者的旅程: #1HourADayJourney