/etc/shadow 和南方的困境

Question

我偶然发现了有关使用 suid 可执行文件访问系统文件的问题。

我写了这个简短的 POC：

#include <unistd.h>
#include <stdio.h>

int main()
{
    if (access("/etc/shadow", W_OK) == 0)
        printf("shadow writable!\n");
    else
        printf("shadow not writable\n");

    return 0;
}

然后我用 chown root:root 和 chmod u+s 编译并给它 suid（运行 by root）

这是生成的可执行文件

-rwsrwxr-x  1 root root     4847 Apr 14 08:40 a.out

目标文件具有这些权限

-rw------- 1 root root 1836 Oct  8  2014 /etc/shadow

当我运行程序时，它给出了这个输出：

[d.berra@srvr ~]$ ./a.out
shadow not writable

为什么会这样？我的意思是...我正在以 root 和 root CAN 的方式访问文件！

注意：selinux 已禁用

想法？

Answer 1

来自access：

The check is done using the calling process's real UID and GID, rather than the effective IDs as is done when actually attempting an operation (e.g., open(2)) on the file. This allows set-user-ID programs to easily determine the invoking user's authority.

所以你可以成功打开这个文件进行写入，因为你的有效UID和文件系统UID现在是0，但是访问仍然会return错误。

如@nos 所述，您忘记将可执行文件所有者更改为 root:

$ sudo chown root:root ./a.out

但即使您这样做，由于 access 行为，您仍然会得到 "not writable"：

$ ls -l ./a.out 
-rwsr-xr-x 1 root root 12651 Apr 14 09:53 ./a.out
$ ./a.out 
shadow not writable

Answer 2

您设置了 suid 位，这意味着可执行文件将运行作为拥有该可执行文件的用户。可执行文件将运行作为 d.berra，无法写入 /etc/shadow.

如果您希望可执行文件运行成为 root 而不管运行它的用户是谁，除了设置 suid 位之外，可执行文件还应归 root 所有。

Answer 3

试试这个：

#include <unistd.h>
#include <stdio.h>

int main()
{
    setuid(0);

    if (access("/etc/shadow", W_OK) == 0)
        printf("shadow writable!\n");
    else
        printf("shadow not writable\n");

    return 0;
}

它将用户ID设置为root以便能够访问该文件。 setuid(0) 仅在有效用户 ID 也为 0 的情况下有效。

/etc/shadow 和南方的困境

/etc/shadow and suid dilemma

linux

shadow

suid