Windows与Linux环境下的路径劫持与安全防御<\/h1>

1. 路径与环境变量基础概念<\/h2>

1.1 绝对路径与相对路径<\/h3>

绝对路径<\/strong>：从根目录开始的完整路径，如：<\/p>

Windows: C:\Windows\System32\tpmtool.exe<\/code><\/li>
Linux: \/usr\/bin\/whoami<\/code><\/li> <\/ul> <\/li>
相对路径<\/strong>：相对于当前工作目录的路径，如：<\/p> .\/tpmtool.exe<\/code> (当前目录)<\/li> ..\/bin\/script.sh<\/code> (上级目录的bin文件夹)<\/li> <\/ul> <\/li> <\/ul> 1.2 环境变量<\/h3> 环境变量是操作系统和程序使用的动态值，常见环境变量包括：<\/p> Windows<\/strong>:<\/p> PATH<\/code> - 可执行程序搜索路径<\/li> TEMP<\/code> - 临时文件目录<\/li> USERPROFILE<\/code> - 用户主目录<\/li> <\/ul> <\/li> Linux<\/strong>:<\/p> PATH<\/code> - 可执行程序搜索路径<\/li> HOME<\/code> - 用户主目录<\/li> PWD<\/code> - 当前工作目录<\/li> <\/ul> <\/li> <\/ul> 2. 路径劫持攻击原理<\/h2> 2.1 Windows路径劫持示例<\/h3> 以tpmtool.exe<\/code>为例：<\/p> tpmtool.exe<\/code>执行时会调用logman.exe<\/code>停止TPM日志收集<\/li> 问题在于它使用相对路径调用logman.exe<\/code><\/li> 攻击者可以在当前目录放置恶意logman.exe<\/code><\/li> 当管理员运行tpmtool.exe<\/code>时，实际执行的是恶意程序<\/li> <\/ol> 攻击复现步骤<\/strong>：<\/p> 将计算器程序(calc.exe<\/code>)重命名为logman.exe<\/code>放入当前目录<\/li> 运行tpmtool stop TPMTRACE -ets<\/code><\/li> 系统会执行当前目录的恶意logman.exe<\/code>而非系统目录的正版程序<\/li> <\/ol> 2.2 Linux路径劫持示例<\/h3> 以调用curl<\/code>的C程序为例：<\/p> system("curl http:\/\/example.com"<\/span>); <\/span><\/span><\/code><\/pre>攻击复现步骤<\/strong>：<\/p> 在当前目录创建名为curl<\/code>的恶意脚本<\/li> 修改PATH<\/code>环境变量，使当前目录优先于系统目录 export PATH=<\/span>.:$PATH <\/span><\/span><\/code><\/pre><\/li> 运行程序时，会执行当前目录的恶意curl<\/code>而非系统curl<\/code><\/li> <\/ol> 3. 防御措施<\/h2> 3.1 开发安全实践<\/h3> 始终使用绝对路径调用外部程序<\/strong><\/p> Windows: C:\Windows\System32\logman.exe<\/code><\/li> Linux: \/usr\/bin\/curl<\/code><\/li> <\/ul> <\/li> 验证程序完整性<\/strong><\/p> 检查调用的程序哈希值或数字签名<\/li> <\/ul> <\/li> 最小权限原则<\/strong><\/p> 程序应以最小必要权限运行<\/li> <\/ul> <\/li> 安全调用API<\/strong><\/p> 避免直接使用system()<\/code>等危险函数<\/li> 使用指定完整路径的API，如CreateProcess<\/code><\/li> <\/ul> <\/li> <\/ol> 3.2 系统配置防御<\/h3> PATH环境变量安全<\/strong><\/p> 不要将当前目录(.)加入PATH<\/li> 在Windows中，PATH不应包含可写目录<\/li> <\/ul> <\/li> 文件系统权限<\/strong><\/p> 系统目录应限制写入权限<\/li> 用户目录不应位于系统PATH中<\/li> <\/ul> <\/li> 审计与监控<\/strong><\/p> 使用工具如Procmon<\/code>监控程序行为<\/li> 记录可疑的子进程创建行为<\/li> <\/ul> <\/li> <\/ol> 3.3 管理员最佳实践<\/h3> 谨慎运行未知程序<\/strong><\/p> 注意当前工作目录<\/li> 使用完整路径运行管理命令<\/li> <\/ul> <\/li> 定期审计<\/strong><\/p> 检查系统PATH设置<\/li> 监控系统目录的文件变化<\/li> <\/ul> <\/li> 使用安全工具<\/strong><\/p> 部署应用程序白名单<\/li> 启用UAC\/权限提升提示<\/li> <\/ul> <\/li> <\/ol> 4. 检测与排查方法<\/h2> 4.1 Windows检测<\/h3> 使用Process Monitor<\/strong>监控：<\/p> 过滤目标进程<\/li> 观察Process Create<\/code>操作<\/li> 检查子进程的完整路径<\/li> <\/ul> <\/li> 使用PowerShell<\/strong>检查PATH：<\/p> $env:Path -split ';'<\/span> <\/span><\/span><\/code><\/pre><\/li> <\/ol> 4.2 Linux检测<\/h3> 使用strace<\/strong>跟踪系统调用：<\/p> strace -f -e execve .\/vulnerable_program <\/span><\/span><\/code><\/pre><\/li> 检查PATH设置：<\/p> echo $PATH <\/span><\/span><\/code><\/pre><\/li> 查找可写的PATH目录：<\/p> echo $PATH | tr ':'<\/span> '\n'<\/span> | while<\/span> read dir; do<\/span> find "<\/span>$dir"<\/span> -type d -writable; done<\/span> <\/span><\/span><\/code><\/pre><\/li> <\/ol> 5. 总结<\/h2> 路径劫持是一种常见但危险的攻击技术，利用程序不安全的路径调用方式实现权限提升或恶意代码执行。开发人员应始终使用绝对路径调用外部程序，系统管理员应合理配置PATH环境变量和文件系统权限。通过防御性编程和系统加固，可以有效防范此类攻击。<\/p>