execve()
Mặc dù system() và execve() đều có thể được sử dụng để chạy các chương trình mới, system() khá nguy hiểm nếu được sử dụng trong một chương trình đặc quyền, chẳng hạn như các chương trình Set-UID. Chúng ta đã thấy biến môi trường PATH ảnh hưởng như thế nào đến hành vi của system (), vì biến này ảnh hưởng đến cách hoạt động của shell. Nhưng đối với exevec() không có vấn đề, bởi vì hàm không gọi shell. Gọi shell có một hậu quả nguy hiểm khác, và lần này, nó không liên quan gì đến các biến môi trường.
Tình huống task: Bob làm việc cho một cơ quan kiểm toán và anh ta cần điều tra một công ty về hành vi gian lận đáng ngờ. Đối với mục đích điều tra, Bob cần có khả năng đọc tất cả các tệp trong hệ thống Unix của công ty; mặt khác, để bảo vệ tính toàn vẹn của hệ thống, Bob không thể sửa đổi bất kỳ tệp nào. Để đạt được mục tiêu này, Vince, superuser của hệ thống, đã viết một chương trình set-root-uid đặc biệt (xem bên dưới), sau đó cấp quyền thực thi cho Bob. Chương trình này yêu cầu Bob nhập tên tệp tại command lines, sau đó nó sẽ chạy /bin/cat để hiển thị tệp được chỉ định. Vì chương trình đang chạy dưới dạng root nên nó có thể hiển thị bất kỳ tệp nào Bob chỉ định. Tuy nhiên, vì chương trình không có hoạt động ghi, Vince rất chắc chắn rằng Bob không thể sử dụng chương trình đặc biệt này để sửa đổi bất kỳ tệp nào.
Trước tiên, ta tiến hành biên dịch và thực thi chương trình của Vince mà task cung cấp thành một file có tên là task8compiled. Ta tiếp tục chuyển chương trình thành root và thành chương trình Set-UID với quyền thực thị của user khác.
Terminal File Edit view Search Terminal Help tị ES £ nì)6:58AM
[11/06/21]seed@VM:~/.../task8$ subl task8.c
ì 11/06/21]seedẻVM:-/.../task8$ gcc task8.c -0 task8comp
iled
[11/06/21]seed@VM:~/.../task8$ ll
total 12
-rw-rw-r-- 1 seed seed 470 Nov 6 06:35 task8.c
-rwxrwxr-x 1 seed seed 7544 Nov 6 06:36 taskScompiled
[11/06/21]seed@VM:~/.../task8$ sudo chown root task8com
piled
[11/06/21]seed@VM:~/.../task8$ sudo chmod 4755 task8com
piled
[ll/06/21]seed@VM:~/.../task8$ ll
total 12
-rw-rw-r-- 1 seed seed 470 Nov 6 06:35 task8.c
-rwsr-xr-x 1 root seed 7544 Nov 6 06:36 task8compiled
Ta tạo ra một file text giả task8Test.txt.
t, 0 ỉ 41)) 10:46 AM
[11/06/21]seed@VM:~/.../task8$ vi task8Test.txt
[11/06/21]seed@VM:~/.../task8$ sudo chov/n root:root tas
k8Test.txt
[11/06/21]seed@VM:~/.../task8$ Is 11
Ls: cannot access '11': No such file or directory
[11/06/21]seed@VM:~/.../task8$ 11
total 16
-rw-rw-r-- 1 seed seed 470 Nov 6 06:35 task8.c
-rwsr-xr-x 1 root seed 7544 Nov 6 06:36 task8compỉled
-rw-rw-r-- 1 root root 18 Nov 6 10:46 task8Test.txt
[11/06/21]seed@VM:~/.../task8$ I
Trong quá trình chạy chương trình task8compiled, hàm chức năng cơ bản của nó sẽ cho ra output nội dung tệp được chỉ định, ở đây ta chỉ định file dummy text task8Test.txt ta vừa tạo ở trên.
[11/06/21]seed@VM:~/.../task8$ ./task8compiled task8Tes
hello! dummy text_____________________________________________
Tiếp theo, hãy xem xét rằng Bob đang sử dụng tài khoản người dùng quochoang (Đối xử với Bob như những người khác (người dùng bình thường)). Ở đây, như chúng ta có thể thấy chương trình chạy bình thường khi chúng ta chỉ cung cấp tệp để đọc. Tuy nhiên, nếu chúng tôi cung cấp một đầu vào độc hại chẳng hạn như “document; /bin/sh”, ở đây chương trình sẽ đọc nội dung của tài liệu trước tiên và sau đó chạy /bin/sh dưới dạng một lệnh (theo chương trình.) /sh cho phép Bob chạy chương trình shell có đặc quyền root và bob sau đó chạy lệnh rm để xóa tệp mà nó không có quyền ghi. Thiết bị đầu cuối gốc được biểu thị bằng dấu #. Điều này cho thấy rằng mặc dù Bob không có bất kỳ quyền nào để viết, nó có thể xóa một tệp dễ dàng bằng cách giả định các đặc quyền của người dùng root.
Vấn đề ở đây là lệnh gọi hệ thống bên trong chương trình không tách biệt câu lệnh và input của người dùng. Input của người dùng viết ở cuối cùng được coi là lệnh thay vì tên dữ liệu / tài liệu.
[11/06/21]seed@VM:~/.../task8$ su quochoang Password:
Điều này có thể tránh được bằng cách tách biệt đầu vào của người dùng và lệnh trong chương trình. Vì lệnh gọi hệ thống yêu cầu xây dựng lệnh bằng cách sử dụng đầu vào, chúng ta nên tránh sử dụng hàm system() trong chương trình và thay vào đó sử dụng hàm execve() để xử lý bất kỳ thứ gì được nhập từ người dùng dưới dạng chuỗi đầu vào và không cho phép nó chạy dưới dạng câu lệnh. Đối với điều này, ta chỉnh sửa chương trình của mình và biên dịch lại, và cũng biến nó thành chương trình SET-UID thuộc sở hữu của root.
d rwx rwx r-
X 2 seed seed 4096 Nov 6 10:46
d rwx r- X r- ồ see see 409 Nov 6 06:3
-rw-rw-r-- 1 see see 470 Nov 6 06:3
-rws r-xr-x 1 root see 754 Nov 6 06:3
-rw-rw-r-- 1 see d see d 18 Nov 6 10:4 6 quochoang@VM:/home/seed/Documents/task8$ total 24 task8. c task8coinpiled* task8Test.txt ./task8compile quochoang@VM:/home/seed/Documents/task8$ d task8Test.txt
hello! dummy text
quochoang@VM:/home/seed/Documents/task8$
d "task8Test.txt;/bin/sh" hello! dummy text # rm task8Test.txt # exit
quochoang@VM:/home/seed/Documents/task8$
d task8Test.txt
/bin/cat: task8Test.txt: No such file or
quochoang@VM:/home/seed/Documents/task8$
ll
. /taskScompile
./taskScompile directory
1 #include <unistd.h> ___
2 #includc <stdio.h>
3 #include -cstdlib. h>
4 #include <string.h>
5 -
6 int maindnt argc, char*argv[])
7 í
char *V[3];
9 char*command;
10
11 if(argc < 2) {
12 printf(“Please type a file name.\n");
13 return 1;
14 }
15
16 v[0] = "/bin/cat"; v[l] = argv[l]; v[2] = NULL; 17
command = mal 1 oc ( st rl en (V [ 0 ] ) +■ st rĩ en ( V [ 1 ] ) + 2); 19 sprintí(command, "%s %s", v[8]fv[l]);
20
21 // Use only one of the followmgs.
22 //system(command) ; 23 execve(v[e], V, NULL); 24 25 return 0 ; 26 1 — [11/06/21]seed@VM:~/.../task8$ gcc task8
® task8 task8.c task8compiled
[11/06/21]seed@VM:~/.../task8$ gcc task8.c -o usingexec
I ve
[11/06/21]seed@VM:~/.../task8$ sudo chown root usingexe
cve
í——1 [11/06/21]seed@VM:~/.../task8$ sudo chmod 4755 usingexe
• >
I [11/06/21]seed@VM:~/.../task8$ 11
—_ total 24
I -rw-rw-r-- 1 seed seed 470 Nov 6 11:28 task8
-rw-rw-r-- 1 seed seed 469 Nov 6 11:27 task8.c
-rwsr-xr-x 1 root seed 7544 Nov 6 06:36 task8compiled
-rwsr-xr-x 1 root seed 7544 Nov 6 11:30 usingexecve
Ta lại thử thực hiện cùng một cuộc tấn công và thấy rằng nó không thành công vì toàn bộ chuỗi người dùng nhập vào được coi là tên tệp chứ không phải tách chuỗi trên ‘;’ làm tên tài liệu và lệnh như trước. Ngoài ra, nếu người dùng quên dấu ngoặc kép và chỉ nhập chuỗi, câu lệnh của cùng một người dùng sẽ được mở chứ không phải cần thiết của người dùng root, do đó Bob sẽ không có quyền viết, sửa hay xóa.
quochoang(ỊỊ>VM: /home/seed/Documents/task8 u * 1») 11:46AM o
quochoang@VM:/home/seed/Documents/task8$ ./usingexecve
si) DocumentTrial
Hheblo! dont remove this file
quochoangQVM:/home/seed/Documents/task8S ./usingexecve
"DocumentT rial;/bin/sh"
S/bin/cat: ' DocumentTrial;/bin/sh' : No such file or dire cto ry
rrrn quochoang@VM:/home/seed/Documents/task8$ ./usingexecve
II DocumentTrial;/bin/sh —_ hello! dont remove this file
► SỆ $ rm DocumentTrial
rin: remove write-protected regular file ' DocumentTrial'
~ Lỵ —.... . ...
rm: cannot remove 1DocumentTrial■: Permission denied
$ I
Điều này xảy ra bởi vì, như đã thấy trong chương trình, lệnh trong hệ thống được xây dựng bằng cách sử dụng các chuỗi được nhập vào trong khi thực thi. Trong terminal, chúng ta có thể nhập nhiều lệnh bằng cách sử dụng ‘;’ và do đó phần thứ hai sau dấu ‘;’ trong đầu vào được coi là lệnh trực tiếp chứ không phải là một phần của tên tệp. Không có xác thực đầu vào khi sử dụng system (), nhưng có một số khi chúng ta sử dụng execve(). Khi chúng ta sử dụng execve(), input được nhập trực tiếp dưới dạng tham số thứ hai cho hàm mà trên thực tế, nó được coi là toàn bộ tên tệp và không được nối vào một chuỗi để xây dựng lệnh, như trước đây. Điều này tránh được kiểu tấn công này.