system()函數的聲明和說明如下:
注意它的描述那里,system()執行一個由command參數定義的命令,通過調用/bin/sh -c命令來實現這個功能。也就是說它的邏輯是這樣的!
進程調用system函數,system函數調用fork創建一個子進程,然后再調用exec函數來把這個子進程的正文段替換成/bin/sh命令的正文段。然后再由sh來執行exec將程序的正文段替換成command參數所代表的命令的正文段,例如,我的一個程序a.out來調用system函數來執行sleep 20命令,它的進程示意圖如下所示:
可以參考下面這個例子,如下圖所示:
這里我執行了一個system文件,產生了兩個進程,3994和3995(右邊那個終端所示,第一列是PPID,第二列是PID),這兩個進程是父子關系,值得注意的是這兩個進程進程ID是連著的,也就是說在這兩個進程執行的時候沒有新的進程產生。
接下來開始扯正題,在《APUE》(UNIX環境高級編程,下文不再贅述)的8.13節中,作者強調SUID和SGID程序中不應該調用system函數。為什么呢,我個人的理解是這樣的。
以SUID權限為例,SUID這種權限設立的目的是什么,就是提供一種可控的超級權限。比如passwd命令,運行passwd這個程序后,進程的有效用戶ID是root,理論上可以為所欲為(即對shadow這個文件想怎么改就怎么改),但是passwd程序的代碼已經被寫死了,用戶所做的操作都要經過passwd這個程序的檢驗,符合標準了才能夠進行,否則程序就會提示出錯!(也就是說不能像vim那樣隨意對shadow文件進行更改,只能在某種規范下進行更改)。
同時,這種權限應該是有限制的,不能夠進行任意傳播。比如,像man這種能夠執行shell命令的程序,它執行shell命令就是通過fork-exec機制來執行了,在某些distribution中有一個man用戶,man程序屬于這個用戶,并且設置了SUID位。也就是說我任意一個普通用戶運行man程序后的有效用戶都是man,如果此時這個普通用戶在man程序中執行shell命令的話,這個shell命令進程的有效用戶應不應該是man呢,設置用戶ID應不應該繼續保留呢,當然不行啦,這樣的話一個普通用戶不就能夠通過這種方式來具有了man用戶的權限了!(如果保留了設置用戶ID,那么在子進程中可以調用setuid函數來使進程的有效用戶ID變成設置用戶ID,同樣能達到上面所說的目的)
OK,上面說的這么一大串,就是為啥SUID或者SGID程序不應該調用system函數來執行一個shell命令,因為這樣會傳播進程的設置用戶ID和有效用戶ID,將它傳遞給子進程,這樣就會產生bug了。理論上是這樣的,但是實際中我發現貌似不行,我的centos6.6上就不能模擬出這個bug來,比如我有這么一段程序:
getresuid程序的代碼如下:
1 /* 這個程序的作用是獲取進程的三個用戶ID,它的可執行文件被做了一個軟鏈接到/home/michael/bin下面 2 * */ 3 #include<errno.h> 4 #include<string.h> 5 #include<stdlib.h> 6 #include<stdarg.h> 7 #include<stdio.h> 8 #include<sys/types.h> 9 #include<unistd.h> 10 #define BUFSIZE 512 11 void err_exit(char *fmt,...); 12 int main(int argc,char *argv[]) 13 { 14 uid_t ruid,euid,suid; 15 16 if(-1 == getresuid(&ruid,&euid,&suid)) 17 err_exit("[getresuid]: "); 18 printf("real:%d\teffective:%d\tset-user:%d\n",ruid,euid,suid); 19 20 return 0; 21 }
system程序的代碼如下:
1 #include<stdlib.h> 2 #include<stdio.h> 3 int main(int argc,char *argv[]) 4 { 5 uid_t ruid,euid,suid; 6 7 if(-1 == getresuid(&ruid,&euid,&suid)) 8 err_exit("[getresuid]: "); 9 printf("real:%d\teffective:%d\tset-user:%d\n",ruid,euid,suid); 10 11 system("getresuid"); 12 return 0; 13 }
這個system程序的功能就是首先輸出進程的real uid,effective uid,和set-user id,然后再來通過system函數調用getresuid程序再來把這三個uid輸出一遍,我把system這個可執行文件變成root所有,并加上suid權限,執行的結果如下圖:
第一個uid的輸出結果是符合預期的,即由于SUID權限位的設置,有效用戶ID是0。但是后面第二個uid的輸出卻和想象的有點不同,理論上,system函數應該是能夠傳遞set-user ID和有效用戶ID給子進程的,但是這里三個UID全部都變成了500,沒一個是root,這個可能是因為system函數在exec之前將所有三個UID都變成了實際用戶ID,或者是sh命令在exec之前將所有三個UID都變成了實際用戶ID。
照這么看來,貌似在SUID程序中調用system函數也未嘗不可,但是為了保險起見,還是自己通過fork和exec動手來實現一個system吧,然后在exec之前把三個UID都設置成實際用戶ID。
![Win32ASM學習[18]:串指令-MOVS*、CMPS*、SCAS*、LODS*、REP、REPE、REPNE](http://pic.xiahunao.cn/Win32ASM學習[18]:串指令-MOVS*、CMPS*、SCAS*、LODS*、REP、REPE、REPNE)
![Win32ASM學習[19]:結構與聯合](http://pic.xiahunao.cn/Win32ASM學習[19]:結構與聯合)
)
![Win32ASM學習[20]:子程序](http://pic.xiahunao.cn/Win32ASM學習[20]:子程序)
)
![Win32ASM學習[21]:宏匯編(1)](http://pic.xiahunao.cn/Win32ASM學習[21]:宏匯編(1))
)
