hackmyvm Hades5变量劫持提权

在这个目录下有个./uid的程序

分别运行./uid 和 id 发现我们在 uid一行是有不一样的

---

---

我们猜测 在./uid里面他先用chown把我们的 uid改写成了anthea 然后运行id 然后再把我们的uid改回andromeda
那么我们怎么拿到这个anthea的权限呢

---

---

这里就需要用到变量劫持的思想
如果我们把 id 这个命令变成了/bin/bash 那么在他把我们的uid改成anthea 之后就执行/bin/bash 就提权成功了

---

---

我们查看到tmp有写入权限

---

---

创建/tmp/id 软链接指向/bin/bash 这样id就变成/bin/bash了

---

---

将环境直接改成/tmp这样 在他执行id的时候就会自动执行/tmp/id 的假命令

---

---

执行./uid 可以看到变量劫持 提权成功