Linux
什麼是 EGG 環境變數?
我們 (openSuSE) linux 系統上的使用者嘗試執行 sudo,並觸發了警報。他設置了環境變數 EGG -
EGG=UH211åH1ÒH»ÿ/bin/shHÁSH211çH1ÀPWH211æ°;^O^Ej^A_j<X^O^EÉÃÿ
至少可以說這看起來很不尋常。
EGG 是合法的環境變數嗎?(我發現了一些對 PYTHON_EGG_CACHE 的引用——可能是相關的?但是沒有為這個使用者設置該環境變數)。如果它是合法的,那麼我想這個群體最有可能認出它。
或者,鑑於嵌入
/bin/sh
在上面的字元串中,是否有人將其辨識為漏洞利用指紋?這不是我們第一次破解帳戶(嘆氣)。
在某些漏洞利用情況下,導致漏洞利用執行的有效負載可能必須非常小。在這些情況下,一種常見的技術是使用一個小的引導有效負載,它可以載入以不同方式傳遞的有效負載(這個較大的有效負載不需要觸發漏洞利用)。
在 sudo 等情況下,使用者可以控制環境。因此,使用者可以使用環境潛在地傳遞更大的有效負載,並使相關的有效負載足夠小,然後可以搜尋/載入實際。
一些典型的引導程序有效負載會搜尋要載入的特定環境變數(如復活節 EGG HUNT),因此將其命名為 EGGS。
例如見這裡:http ://www.hick.org/code/skape/papers/egghunt-shellcode.pdf
在這種情況下,看起來你發現自己是一個腳本小子