suid 问题释疑

rickxbx

以前在版上讨论过一个suid的问题,不知还有没有人记得,有这么一个测试程序:

1. 
   
2. #include <unistd.h>
   
3. 
   
4. int main()
   
5. {
   
6.         char *name[2];
   
7.         name[0] = "/bin/sh";
   
8.         name[1] = 0;
   
9. 
   
10.         execve(name[0],name,0);
    
11. }
    
12. 
    
13. chmod u+s a.out
    

复制代码

但是以普通用户身份执行,无法得到root shell,一直不得其解,与 Tetris 兄探讨无果
怀疑是系统问题,今天用hiweed试了一下,确实能够得到root shell,原本使用的测试平台是fc3,

ps:fc在安全方面还做好多工作,exec-shield,selinux等.

pps: 我这不算灌水吧? ^_^

弥敦路九号

但是具体是哪个环节出的问题呢?
execve or bash?

rickxbx

Post by 弥敦路九号
但是具体是哪个环节出的问题呢?
execve or bash?

应该不是bash的问题，因为我试过直接用0x80中断，也不行。那就应该是内核的问题了

kj501

Post by rickxbx

1. 
   
2. #include <unistd.h>
   
3. 
   
4. int main()
   
5. {
   
6.         char *name[2];
   
7.         name[0] = "/bin/sh";
   
8.         name[1] = 0;
   
9. 
   
10.         execve(name[0],name,0);
    
11. }
    
12. 
    
13. chmod u+s a.out
    

复制代码

但是以普通用户身份执行,无法得到root shell,一直不得其解,与 Tetris 兄探讨无果...

我试过了，这个程序运行后的euid和ruid都是普通用户。加上setuid(0)后用ps查看，euid和ruid都成为root了。

1. #include <sys/types.h>
   
2. #include <unistd.h>
   
3. 
   
4. int main()
   
5. {
   
6.         char *name[2];
   
7.         name[0] = "/bin/sh";
   
8.         name[1] = 0;
   
9. 
   
10.         setuid(0);
    
11.         execve(name[0],name,0);
    
12. }
    

复制代码

rickxbx

Post by kj501
我试过了，这个程序运行后的euid和ruid都是普通用户。加上setuid(0)后用ps查看，euid和ruid都成为root了。

呵呵，这个我已经做过了，这样确实可以
现在已经确切地发现了问题所在，问题出在 bash 上，bash 在启动时会检测 euid 是否与 uid 相同，如果相同，则罢；若不同，就检查是否加上了 -p 选项，如果有，则将euid不变，否则，euid将变成当前用户的uid，可以试一下如下程序：

1. 
   
2. int main()
   
3. {
   
4.     char* name[] = {"/bin/sh","-p",0};
   
5.     execve(name[0],name,0);
   
6.     return 0;
   
7. }
   

复制代码

ps：我都有点忘了，斑竹还能记得这个问题，真是好感动……

kj501

从效果上讲，"/bin/sh -p"和setuid(0)还是有区别的，setuid(0)是euid和ruid都变成root了，而"/bin/sh -p"只是euid成为root，而ruid仍然是普通用户。

rickxbx

Post by kj501
从效果上讲，"/bin/sh -p"和setuid(0)还是有区别的，setuid(0)是euid和ruid都变成root了，而"/bin/sh -p"只是euid成为root，而ruid仍然是普通用户。

嗯，是这个样子