Solaris下究竟如何使用setuid/seteuid/setreuid
Q: 我被setuid/seteuid/setreuid搞瘋了，到底怎么使用它們？
A: 下面是Solaris 7的setuid(2)手冊(cè)頁(yè)
系統(tǒng)調(diào)用 setuid(2)
名字
setuid、setegid、seteuid、setgid - 設(shè)置UID和GID
摘要

#include #include int setuid ( uid_t uid ); int seteuid ( uid_t euid ); int setgid ( gid_t gid ); int setegid ( gid_t egid );

描述
seteuid()只設(shè)置EUID。如果當(dāng)前EUID為0，形參euid任意指定。否則
形參euid應(yīng)該是RUID、EUID、SUID之一。無(wú)論如何，最終只影響當(dāng)前
EUID。
setegid()只設(shè)置EGID。如果當(dāng)前EUID為0，形參egid任意指定。否則
形參egid應(yīng)該是RGID、EGID、SGID之一。無(wú)論如何，最終只影響當(dāng)前
EGID。
登錄時(shí)，RUID、EUID、SUID設(shè)置成登錄ID。
進(jìn)程調(diào)用exec(2)執(zhí)行一個(gè)程序文件，考慮兩種情況：
a. 程序文件set-user-id，則相應(yīng)進(jìn)程EUID、SUID被設(shè)置成這個(gè)程序
文件的屬主ID。
程序文件set-group-id，則相應(yīng)進(jìn)程EGID、SGID被設(shè)置成這個(gè)程
序文件的屬組ID。
b. 程序文件沒(méi)有set-user-id，則相應(yīng)進(jìn)程EUID、SUID不變。
程序文件沒(méi)有set-group-id，則相應(yīng)進(jìn)程EGID、SGID不變。
如果當(dāng)前EUID為0，任意調(diào)用setuid()同時(shí)設(shè)置RUID、EUID、SUID。
如果當(dāng)前EUID為0，任意調(diào)用setgid()同時(shí)設(shè)置RGID、EGID、SGID。
如果當(dāng)前EUID不為0，形參uid等于RUID或者SUID，調(diào)用setuid()后當(dāng)
前EUID被設(shè)置成形參uid，RUID、SUID不受影響。
如果當(dāng)前EUID不為0，形參gid等于RGID或者SGID，調(diào)用setgid()后當(dāng)
前EGID被設(shè)置成形參gid，RGID、SGID不受影響。
返回值
0 成功
-1 失敗，errno被設(shè)置
錯(cuò)誤值
EINVAL 形參uid、gid等不在合法范圍內(nèi)
EPERM 當(dāng)前EUID不為0，形參指定不符合前面描述
屬性

___________________________________________________________ | ATTRIBUTE TYPE | ATTRIBUTE VALUE | | ____________________________|_____________________________| | MT-Level | setuid() and setgid() and| | | Async-Signal-Safe | |_____________________________|_____________________________|

參看
intro(2)、exec(2)、getgroups(2)、getuid(2)、attributes(5)
stat(5)
A: 下面是Solaris 7的setreuid(2)手冊(cè)頁(yè)
系統(tǒng)調(diào)用 setreuid(2)
名字
setreuid - 設(shè)置RUID、EUID
摘要

#include int setreuid ( uid_t ruid, uid_t euid );

描述
setreuid()設(shè)置RUID、EUID，最終可能導(dǎo)致SUID改變。
如果形參ruid為-1，RUID不變。如果形參euid為-1，EUID不變。形參
ruid、euid可以不同。
如果EUID為0，形參ruid、euid可以是任意合法值。
如果EUID不為0，形參ruid可以等于當(dāng)前RUID、當(dāng)前EUID，形參euid
可以等于當(dāng)前RUID、當(dāng)前EUID、當(dāng)前SUID。
兩種情況下，如果RUID被成功修改(形參ruid不為-1)，或者EUID被成
功修改(形參euid不為-1)并且不等于最終RUID，則最終SUID被設(shè)置成
最終EUID。
返回值
0 成功
-1 失敗，errno被設(shè)置
錯(cuò)誤值
EINVAL 形參ruid、euid等不在合法范圍內(nèi)。
/usr/include/limits.h中定義了合法范圍
[0, 2147483647(UID_MAX)]。
EPERM 當(dāng)前EUID不為0，形參指定不符合前面描述。
用法
一個(gè)set-user-id進(jìn)程調(diào)用setreuid()修改當(dāng)前EUID成當(dāng)前RUID后，
依然可以調(diào)用setreuid()修改當(dāng)前EUID成當(dāng)前SUID
參看
exec(2)、getuid(2)、setregid(2)、setuid(2)
D: 小四
從Solaris 2.6/7源碼中可以看到，由于SUID的存在，存在很多安全隱患。
對(duì)于一個(gè)setuid-to-root的程序，如果需要永久放棄特權(quán)，應(yīng)該在當(dāng)前EUID為0的時(shí)
候調(diào)用setuid( not root )放棄特權(quán)。或者調(diào)用setreuid( not root, not root )放
棄特權(quán)。只有這兩種正確辦法，否則始終有機(jī)會(huì)重獲特權(quán)。
假設(shè)當(dāng)前ruid == 500、euid == 0、suid == 0，
setreuid( -1, 500 ); <-- 臨時(shí)放棄特權(quán) ruid == 500、euid == 500、suid == 0
setreuid( -1, 0 ); <-- 恢復(fù)特權(quán) ruid == 500、euid == 0、suid == 0
setuid( 500 ); <-- 永久放棄特權(quán) ruid == euid == suid == 500
某些系統(tǒng)可能不支持SUID，假設(shè)當(dāng)前ruid == 500、euid == 0，
setuid( 0 ); <-- 現(xiàn)在ruid == euid == 0
setreuid( -1, 500 ); <-- 現(xiàn)在ruid == 0、euid == 500
seteuid( 0 ); <-- 現(xiàn)在ruid == euid == 0
顯然在某些shellcode編寫(xiě)過(guò)程中，應(yīng)該是這個(gè)調(diào)用順序成功幾率最大：
seteuid( 0 );
setuid( 0 );
下面這個(gè)程序演示如何調(diào)用setreuid()、setregid()永久放棄setuid、setgid特權(quán)
--------------------------------------------------------------------------

/* gcc -Wall -O3 -o ugtest ugtest.c */ #include #include #include #include int main ( int argc, char * argv[] ) { uid_t temp_ruid, temp_euid, orig_ruid, orig_suid; gid_t temp_rgid, temp_egid, orig_rgid, orig_sgid; orig_ruid = temp_ruid = getuid(); orig_suid = temp_euid = geteuid(); orig_rgid = temp_rgid = getgid(); orig_sgid = temp_egid = getegid(); printf( "ruid = %d euid = %d suid = %dn", ( int )temp_ruid, ( int )temp_euid, ( int )orig_suid ); printf( "rgid = %d egid = %d sgid = %dn", ( int )temp_rgid, ( int )temp_egid, ( int )orig_sgid ); if ( setregid( orig_rgid, orig_rgid ) < 0 ) { perror( "Faint setregid" ); } if ( setreuid( orig_ruid, orig_ruid ) < 0 ) { perror( "Faint setreuid" ); } temp_ruid = getuid(); temp_euid = geteuid(); temp_rgid = getgid(); temp_egid = getegid(); printf( "ruid = %d euid = %dn", ( int )temp_ruid, ( int )temp_euid ); printf( "rgid = %d egid = %dn", ( int )temp_rgid, ( int )temp_egid ); if ( setegid( orig_sgid ) < 0 ) { perror( "I see setegid" ); } if ( seteuid( orig_suid ) < 0 ) { perror( "I see seteuid" ); } return( EXIT_SUCCESS ); } /* end of main */ -------------------------------------------------------------------------- [scz@ /export/home/scz/src]> ls -l ./ugtest -rwsr-sr-x 1 warning3 root 5416 6月 7 15:29 ./ugtest* [scz@ /export/home/scz/src]> ./ugtest ruid = 500 euid = 501 suid = 501 <-- setuid-to- rgid = 100 egid = 0 sgid = 0 <-- setgid-to-root ruid = 500 euid = 500 <-- 即使整個(gè)過(guò)程中沒(méi)有EUID為0的機(jī)會(huì)， rgid = 100 egid = 100 還是成功地永久釋放了特權(quán) I see setegid: Not owner I see seteuid: Not owner [scz@ /export/home/scz/src]> D: tt 2001-06-07 14:04

如果一個(gè)Solaris下的程序setuid-to-，應(yīng)該盡量使用setreuid()永久放棄特權(quán)，
而不是setuid()，因?yàn)檫@樣最通用。尤其當(dāng)setuid-to-的時(shí)候，setuid()
根本無(wú)法永久放棄特權(quán)。
如果一個(gè)Solaris下的程序setgid-to-，應(yīng)該盡量使用setregid()永久放棄特權(quán)，
而不是setgid()，因?yàn)檫@樣最通用。尤其當(dāng)整個(gè)過(guò)程中無(wú)法滿(mǎn)足EUID為0的時(shí)候，
setgid()根本無(wú)法永久放棄特權(quán)。
假設(shè)一個(gè)Solaris下的程序同時(shí)setuid、setgid過(guò)，較理想的釋放順序應(yīng)該是先釋放