我们(openSuSE)linux系统上的用户试图运行sudo,并触发了一个警报。 他有环境variablesEGG集 –
EGG=UH211åH1ÒH»ÿ/bin/shHÁSH211çH1ÀPWH211æ°;^O^Ej^A_j<X^O^EÉÃÿ 至less可以这样说。
EGG是一个合法的环境variables吗? (我发现了一些对PYTHON_EGG_CACHE的引用 – 可能是相关的,但是这个环境variables没有为这个用户设置)。 如果它是合法的,那么我想这个小组有最好的机会来认识它。
或者,鉴于在上面的string中embedded/bin/sh ,有没有人认识到这是一个利用指纹? 这不是我们第一次有一个破解账户(叹气)。
在一些利用漏洞的情况下,导致利用漏洞的有效负载可能不得不非常小。 在这些情况下,一种常见的技术是有一个小的引导程序有效载荷,可以加载不同的有效载荷(这个较大的有效载荷不需要触发利用)。
在sudo等情况下,用户可以控制环境。 因此,用户可以使用该环境潜在地提供更大的有效负载,并且具有足够小的相关有效负载,然后可以search/加载实际的负载。
一些典型的引导程序有效载荷search一个特定的环境variables(如复活节鸡蛋)加载,所以将被命名为EGGS。
看到这里例如: http : //www.hick.org/code/skape/papers/egghunt-shellcode.pdf
在这种情况下,看起来你已经发现自己的脚本小子