euid, ruid, suid
Last updated
Last updated
Learn & practice AWS Hacking:
HackTricks Training AWS Red Team Expert (ARTE)
Learn & practice GCP Hacking: 
HackTricks Training GCP Red Team Expert (GRTE)
ruid: 실제 사용자 ID는 프로세스를 시작한 사용자를 나타냅니다.
euid: 유효 사용자 ID로 알려져 있으며, 시스템이 프로세스 권한을 확인하는 데 사용하는 사용자 신원을 나타냅니다. 일반적으로 euid는 ruid와 동일하지만, SetUID 바이너리 실행과 같은 경우에는 euid가 파일 소유자의 신원을 취득하여 특정 작업 권한을 부여합니다.
suid: 이 저장된 사용자 ID는 높은 권한의 프로세스(일반적으로 root로 실행)가 특정 작업을 수행하기 위해 일시적으로 권한을 포기해야 할 때 중요하며, 이후 다시 초기 상승된 상태를 회복합니다.
root로 실행되지 않는 프로세스는 현재 ruid, euid 또는 suid와 일치하도록 euid를 수정할 수 있습니다.
setuid: 초기 가정과는 달리, setuid는 주로 ruid가 아닌 euid를 수정합니다. 특히, 권한이 있는 프로세스의 경우, 지정된 사용자(종종 root)와 함께 ruid, euid, suid를 정렬하여 이러한 ID를 강화합니다. 자세한 내용은 setuid 매뉴얼 페이지에서 확인할 수 있습니다.
setreuid 및 setresuid: 이러한 함수는 ruid, euid, suid의 미세 조정을 허용합니다. 그러나 그 기능은 프로세스의 권한 수준에 따라 달라집니다. 비-root 프로세스의 경우, 수정은 현재 ruid, euid, suid의 값으로 제한됩니다. 반면, root 프로세스나 CAP_SETUID 권한이 있는 프로세스는 이러한 ID에 임의의 값을 할당할 수 있습니다. 더 많은 정보는 setresuid 매뉴얼 페이지와 setreuid 매뉴얼 페이지에서 확인할 수 있습니다.
이러한 기능은 보안 메커니즘이 아니라, 프로그램이 유효 사용자 ID를 변경하여 다른 사용자의 신원을 채택할 때와 같은 의도된 작업 흐름을 촉진하기 위해 설계되었습니다.
특히, setuid는 root로의 권한 상승을 위한 일반적인 방법일 수 있지만(모든 ID를 root로 정렬하므로), 이러한 함수 간의 차이를 이해하고 다양한 시나리오에서 사용자 ID 동작을 조작하는 것이 중요합니다.
execve 시스템 호출기능: execve는 첫 번째 인수에 의해 결정된 프로그램을 시작합니다. 두 개의 배열 인수, argv(인수)와 envp(환경)를 사용합니다.
동작: 호출자의 메모리 공간을 유지하지만 스택, 힙 및 데이터 세그먼트를 새로 고칩니다. 프로그램의 코드는 새 프로그램으로 대체됩니다.
사용자 ID 보존:
ruid, euid 및 추가 그룹 ID는 변경되지 않습니다.
새 프로그램에 SetUID 비트가 설정된 경우 euid에 미세한 변화가 있을 수 있습니다.
실행 후 suid는 euid에서 업데이트됩니다.
문서화: 자세한 정보는 execve 매뉴얼 페이지에서 확인할 수 있습니다.
system 함수기능: execve와 달리 system은 fork를 사용하여 자식 프로세스를 생성하고 해당 자식 프로세스 내에서 명령을 실행합니다.
명령 실행: sh를 통해 명령을 실행하며, execl("/bin/sh", "sh", "-c", command, (char *) NULL);를 사용합니다.
동작: execl은 execve의 한 형태로, 새로운 자식 프로세스의 맥락에서 유사하게 작동합니다.
문서화: 추가 정보는 system 매뉴얼 페이지에서 확인할 수 있습니다.
bash 및 sh의 동작bash:
euid와 ruid의 처리 방식에 영향을 미치는 -p 옵션이 있습니다.
-p 없이 bash는 euid가 ruid와 다를 경우 euid를 ruid로 설정합니다.
-p가 있을 경우 초기 euid가 보존됩니다.
더 많은 세부정보는 bash 매뉴얼 페이지에서 확인할 수 있습니다.
sh:
bash의 -p와 유사한 메커니즘이 없습니다.
사용자 ID와 관련된 동작은 명시적으로 언급되지 않으며, -i 옵션 하에서 euid와 ruid의 동등성을 강조합니다.
추가 정보는 sh 매뉴얼 페이지에서 확인할 수 있습니다.
이러한 메커니즘은 작동 방식이 다르며, 프로그램을 실행하고 전환하는 다양한 옵션을 제공하며, 사용자 ID가 관리되고 보존되는 방식에 특정한 뉘앙스가 있습니다.
예제는 https://0xdf.gitlab.io/2022/05/31/setuid-rabbithole.html#testing-on-jail에서 가져왔으며, 추가 정보를 확인하세요.
system과 함께 setuid 사용목표: system과 bash를 sh로 조합했을 때 setuid의 효과를 이해합니다.
C 코드:
컴파일 및 권한:
분석:
ruid와 euid는 각각 99 (nobody)와 1000 (frank)로 시작합니다.
setuid는 둘 다 1000으로 맞춥니다.
system은 sh에서 bash로의 심볼릭 링크로 인해 /bin/bash -c id를 실행합니다.
bash는 -p 없이 euid를 ruid와 일치하도록 조정하여 둘 다 99 (nobody)가 됩니다.
C 코드:
컴파일 및 권한:
실행 및 결과:
분석:
setreuid는 ruid와 euid를 모두 1000으로 설정합니다.
system은 bash를 호출하며, 사용자 ID의 동등성으로 인해 이를 유지하여 사실상 frank로 작동합니다.
목표: setuid와 execve 간의 상호작용 탐색.
실행 및 결과:
분석:
ruid는 99로 유지되지만, euid는 setuid의 효과에 따라 1000으로 설정됩니다.
C 코드 예제 2 (Bash 호출):
실행 및 결과:
분석:
euid가 setuid에 의해 1000으로 설정되었지만, bash는 -p가 없기 때문에 ruid(99)로 euid를 재설정합니다.
C 코드 예제 3 (bash -p 사용):
실행 및 결과:
AWS 해킹 배우기 및 연습하기:HackTricks Training AWS Red Team Expert (ARTE)
GCP 해킹 배우기 및 연습하기: HackTricks Training GCP Red Team Expert (GRTE)