Linux

什麼是 EGG 環境變數?

  • February 17, 2011

我們 (openSuSE) linux 系統上的使用者嘗試執行 sudo,並觸發了警報。他設置了環境變數 EGG -

EGG=UH211åH1ÒH»ÿ/bin/shHÁSH211çH1ÀPWH211æ°;^O^Ej^A_j<X^O^EÉÃÿ

至少可以說這看起來很不尋常。

EGG 是合法的環境變數嗎?(我發現了一些對 PYTHON_EGG_CACHE 的引用——可能是相關的?但是沒有為這個使用者設置該環境變數)。如果它是合法的,那麼我想這個群體最有可能認出它。

或者,鑑於嵌入/bin/sh在上面的字元串中,是否有人將其辨識為漏洞利用指紋?這不是我們第一次破解帳戶(嘆氣)。

在某些漏洞利用情況下,導致漏洞利用執行的有效負載可能必須非常小。在這些情況下,一種常見的技術是使用一個小的引導有效負載,它可以載入以不同方式傳遞的有效負載(這個較大的有效負載不需要觸發漏洞利用)。

在 sudo 等情況下,使用者可以控制環境。因此,使用者可以使用環境潛在地傳遞更大的有效負載,並使相關的有效負載足夠小,然後可以搜尋/載入實際。

一些典型的引導程序有效負載會搜尋要載入的特定環境變數(如復活節 EGG HUNT),因此將其命名為 EGGS。

例如見這裡:http ://www.hick.org/code/skape/papers/egghunt-shellcode.pdf

在這種情況下,看起來你發現自己是一個腳本小子

引用自:https://serverfault.com/questions/236983