什麼是 EGG 環境變數？

我們 (openSuSE) linux 系統上的使用者嘗試執行 sudo，並觸發了警報。他設置了環境變數 EGG -

EGG=UH211åH1ÒH»ÿ/bin/shHÁSH211çH1ÀPWH211æ°;^O^Ej^A_j<X^O^EÉÃÿ

至少可以說這看起來很不尋常。

EGG 是合法的環境變數嗎？（我發現了一些對 PYTHON_EGG_CACHE 的引用——可能是相關的？但是沒有為這個使用者設置該環境變數）。如果它是合法的，那麼我想這個群體最有可能認出它。

或者，鑑於嵌入/bin/sh在上面的字元串中，是否有人將其辨識為漏洞利用指紋？這不是我們第一次破解帳戶（嘆氣）。

在某些漏洞利用情況下，導致漏洞利用執行的有效負載可能必須非常小。在這些情況下，一種常見的技術是使用一個小的引導有效負載，它可以載入以不同方式傳遞的有效負載（這個較大的有效負載不需要觸發漏洞利用）。

在 sudo 等情況下，使用者可以控制環境。因此，使用者可以使用環境潛在地傳遞更大的有效負載，並使相關的有效負載足夠小，然後可以搜尋/載入實際。

一些典型的引導程序有效負載會搜尋要載入的特定環境變數（如復活節 EGG HUNT），因此將其命名為 EGGS。

例如見這裡：http ://www.hick.org/code/skape/papers/egghunt-shellcode.pdf

在這種情況下，看起來你發現自己是一個腳本小子

引用自：https://serverfault.com/questions/236983