阿摩線上測驗
6. 情境如附圖所示。當使用帶有 GTFOBins 的 Windows Linux 子系統(WSL)時,下列何項措施對於增強安全性最重要?
(A) 在 WSL 中使用防病毒軟體
(B) 在 WSL 中安裝弱點掃描工具
(C) 禁用 WSL 的網路功能
(D) 偵測與記錄用戶對敏感二進制文件的使用
統計: A(26), B(23), C(24), D(460), E(0) #3223876
詳解 (共 2 筆)
GTFOBins 的運作方式
GTFOBins 主要利用 Unix/Linux 系統中已存在的二進位檔案,這些檔案本身具有特定的功能和權限,有時候還擁有「SetUID」或「SetGID」等特殊屬性,讓使用者可以以更高的權限執行操作。
GTFOBins 利用範例:使用 vim 提升權限
-
原本的情境:你的訪客帳號無法安裝軟體或修改系統檔案,因為權限不夠。
-
利用 vim:你打開 vim,並輸入以下指令來開啟一個「命令列」:
bash:!sh -
開啟命令列:這樣會在 vim 裡面打開一個終端機,讓你可以執行一些系統指令。雖然你本身是以訪客帳號登入的,但在某些情況下(例如這個 vim 程式有更高的權限),你可以藉此執行本來訪客帳號無法使用的指令。
-
(A) 在 WSL 中使用防病毒軟體
在 WSL 中安裝防病毒軟體可以幫助偵測並清除惡意檔案。然而,傳統的防病毒解決方案在 Linux 環境(如 WSL)中的效果有限,特別是對於 GTFOBins 可能進行的權限提升和環境逃逸操作。防病毒軟體提供了一般性的保護,但無法直接應對與 GTFOBins 有關的特定風險。 -
(B) 在 WSL 中安裝弱點掃描工具
弱點掃描工具可以協助識別 WSL 中的漏洞和配置錯誤,並揭露潛在的攻擊途徑。這樣可以讓管理員對可能的漏洞有所了解,間接幫助防止權限提升的風險。然而,僅僅靠掃描並不能防止漏洞被利用,它只是找出風險而已。 -
(C) 禁用 WSL 的網路功能
禁用 WSL 的網路功能可以限制外部連線的機會,從而降低遠端攻擊或資料外洩的風險。然而,這項措施並未直接針對 GTFOBins 中的權限提升或敏感二進位文件的存取進行防護,而這正是目前的主要安全隱憂。 -
(D) 偵測與記錄用戶對敏感二進制文件的使用
這項措施直接針對 GTFOBins 的風險。透過偵測和記錄用戶對敏感二進位文件的使用,管理員可以監控潛在的濫用或未授權的存取行為,進而防止或減輕權限提升的風險。此方法針對性強,能有效提供有關可疑活動的線索,是在 WSL 中增強安全性的最佳選擇。
