我们 (openSuSE) Linux 系统上的一个用户尝试运行 sudo,并触发了警报。他设置了环境变量 EGG -
EGG=UH211åH1ÒH»ÿ/bin/shHÁSH211çH1ÀPWH211æ°;^O^Ej^A_j<X^O^EÉÃÿ
这至少看起来不寻常。
EGG 是合法的环境变量吗?(我发现了一些对 PYTHON_EGG_CACHE 的引用 - 可能相关?但该环境变量未针对此用户设置)。如果它是合法的,那么我想这个组最有可能识别它。
或者,考虑到/bin/sh
上面嵌入的字符串,有人能认出这是漏洞指纹吗?这不是我们第一次破解账户(叹气)。
答案1
在某些漏洞利用情况下,导致漏洞利用执行的有效载荷可能必须非常小。在这些情况下,一种常见的技术是使用一个小型引导有效载荷,它可以加载以不同方式传递的有效载荷(这个较大的有效载荷不需要触发漏洞利用)。
在 sudo 等情况下,用户可以控制环境。因此,用户可以使用环境潜在地传递更大的有效载荷,并使相关有效载荷足够小,然后可以搜索/加载实际内容。
一些典型的引导有效负载会搜索要加载的特定环境变量(如复活节 EGG HUNT),因此被命名为 EGGS。
例如请参见此处:http://www.hick.org/code/skape/papers/egghunt-shellcode.pdf
在这种情况下,看起来你发现自己是一个脚本小子