了解 sudo 和可能的漏洞利用

对于您的第一个问题，指示的输出行告诉您允许您以 root 用户身份运行/bin/tar和/usr/bin/zip通过sudo，甚至不需要提供zico密码。

zip对于您的第二个问题，我们从的手册页中得到答案：

   --unzip-command cmd
          Use command cmd instead of 'unzip -tqq' to test an archive when the -T option is used.

因此，由于您有特权以ziproot 用户身份通过​​ 运行sudo，因此该漏洞利用只是告诉zip“嘿，当您测试此存档时，请使用命令sh -c /bin/bash对其进行测试，好吗？” 这样做很有帮助，给你一个 root shell。

该exploit文件只是为了提供zip一些要压缩的东西，以便有一些东西要“测试”。它永远不会运行或任何东西，实际上在您的演示中只是一个空文件。

$ sudo -u root zip /tmp/exploit.zip /tmp/exploit -T --unzip-command="sh -c /bin/bash"

指示sudo以 root 用户身份运行以下命令：

$ zip /tmp/exploit.zip /tmp/exploit -T --unzip-command="sh -c /bin/bash"

此命令将获取文件/tmp/exploit并将其放入新存档中，/tmp/exploit.zip. -T开关告诉zip然后测试存档的完整性，并且--unzip-command开关告诉zip 如何测试存档。最后一件事是实际的利用：因为zip是以 root 身份运行的，所以运行sh -c /bin/bash会给你一个作为 root 用户的 shell。

即使没有zip，该tar命令也可以用来破坏事物。您所需要的只是一个 tar 文件，其中包含 setuid root 程序，然后tar xfp是它。

例如，如果我可以使用带有 setuid root 的 ksh93 创建一个 tarball，那么我可以获得 root 权限

$ tar tvf ../foo.tar
-rwsr-xr-x root/root   1519024 2018-11-08 21:32 ksh93
$ sudo tar xvfp ../foo.tar 
ksh93
$ ./ksh93 -c id
uid=500(sweh) gid=500(sweh) euid=0(root) groups=500(sweh),10(wheel),13(news)
$ 

发现euid ..我有有效的root。