curl ป้องกันรหัสผ่านไม่ให้ปรากฏในเอาต์พุต ps ได้อย่างไร

ฉันสังเกตเห็นเมื่อไม่นานมานี้ว่าชื่อผู้ใช้และรหัสผ่านที่กำหนดให้curlเป็นอาร์กิวเมนต์บรรทัดคำสั่งไม่ปรากฏในpsผลลัพธ์ (แม้ว่าแน่นอนว่าพวกเขาอาจปรากฏในประวัติทุบตีของคุณ)

/proc/PID/cmdlineเขาก็จะไม่ปรากฏใน

(ความยาวของอาร์กิวเมนต์ชื่อผู้ใช้ / รหัสผ่านรวมกันสามารถได้รับแม้ว่า)

การสาธิตด้านล่าง:

[root@localhost ~]# nc -l 80 &
[1] 3342
[root@localhost ~]# curl -u iamsam:samiam localhost &
[2] 3343
[root@localhost ~]# GET / HTTP/1.1
Authorization: Basic aWFtc2FtOnNhbWlhbQ==
User-Agent: curl/7.19.7 (x86_64-redhat-linux-gnu) libcurl/7.19.7 NSS/3.15.3 zlib/1.2.3 libidn/1.18 libssh2/1.4.2
Host: localhost
Accept: */*



[1]+  Stopped                 nc -l 80
[root@localhost ~]# jobs
[1]+  Stopped                 nc -l 80
[2]-  Running                 curl -u iamsam:samiam localhost &
[root@localhost ~]# ps -ef | grep curl
root      3343  3258  0 22:37 pts/1    00:00:00 curl -u               localhost
root      3347  3258  0 22:38 pts/1    00:00:00 grep curl
[root@localhost ~]# od -xa /proc/3343/cmdline 
0000000    7563    6c72    2d00    0075    2020    2020    2020    2020
          c   u   r   l nul   -   u nul  sp  sp  sp  sp  sp  sp  sp  sp
0000020    2020    2020    0020    6f6c    6163    686c    736f    0074
         sp  sp  sp  sp  sp nul   l   o   c   a   l   h   o   s   t nul
0000040
[root@localhost ~]# 

ผลกระทบนี้จะเกิดขึ้นได้อย่างไร? มันอยู่ที่ไหนสักแห่งในรหัสที่มาของcurl? (ฉันคิดว่ามันเป็นcurlคุณสมบัติไม่ใช่psคุณสมบัติหรือเป็นคุณสมบัติเคอร์เนลของการจัดเรียงบางอย่าง?)

นอกจากนี้: สามารถทำได้จากนอกซอร์สโค้ดของไบนารีที่ปฏิบัติการได้หรือไม่? เช่นโดยการใช้คำสั่งเชลล์อาจรวมกับสิทธิ์ root หรือไม่

กล่าวอีกนัยหนึ่งฉันสามารถซ่อนอาร์กิวเมนต์ไม่ให้ปรากฏใน/procหรือในpsผลลัพธ์ (ในสิ่งเดียวกันฉันคิดว่า) ที่ฉันส่งไปยังคำสั่งเชลล์โดยพลการ ? (ฉันเดาว่าคำตอบสำหรับคำถามนี้คือ "ไม่" แต่ดูเหมือนว่าคุ้มค่าที่จะรวมคำถามพิเศษครึ่งหนึ่งนี้)

เมื่อเคอร์เนลดำเนินการโปรเซสมันคัดลอกอาร์กิวเมนต์บรรทัดคำสั่งไปยังหน่วยความจำแบบอ่าน - เขียนที่เป็นของกระบวนการ (บนสแต็กอย่างน้อยบน Linux) กระบวนการสามารถเขียนไปยังหน่วยความจำเช่นเดียวกับหน่วยความจำอื่น ๆ เมื่อpsแสดงอาร์กิวเมนต์มันจะอ่านสิ่งที่ถูกจัดเก็บในที่อยู่นั้นในหน่วยความจำของกระบวนการ โปรแกรมส่วนใหญ่จะเก็บอาร์กิวเมนต์ดั้งเดิมไว้ แต่สามารถเปลี่ยนแปลงได้ คำอธิบาย POSIX ของpsรัฐว่า

มันไม่ได้ระบุว่าสตริงที่แสดงนั้นเป็นเวอร์ชันของรายการอาร์กิวเมนต์ที่ส่งผ่านไปยังคำสั่งเมื่อเริ่มต้นหรือเป็นเวอร์ชันของอาร์กิวเมนต์ตามที่แอปพลิเคชันอาจถูกแก้ไข แอปพลิเคชันไม่สามารถขึ้นอยู่กับความสามารถในการปรับเปลี่ยนรายการอาร์กิวเมนต์ของพวกเขาและการปรับเปลี่ยนนั้นสะท้อนให้เห็นในผลลัพธ์ของ ps

เหตุผลที่กล่าวถึงนี้คือตัวแปร unix ส่วนใหญ่สะท้อนการเปลี่ยนแปลง แต่การใช้งาน POSIX บนระบบปฏิบัติการประเภทอื่นอาจไม่

คุณลักษณะนี้มีการใช้งาน จำกัด เนื่องจากกระบวนการไม่สามารถทำการเปลี่ยนแปลงโดยพลการ อย่างน้อยที่สุดความยาวทั้งหมดของอาร์กิวเมนต์ไม่สามารถเพิ่มได้เนื่องจากโปรแกรมไม่สามารถเปลี่ยนตำแหน่งที่psจะดึงข้อมูลอาร์กิวเมนต์และไม่สามารถขยายพื้นที่เกินขนาดเดิมได้ ความยาวสามารถลดลงได้อย่างมีประสิทธิภาพโดยการใส่ค่า null เป็นจุดสิ้นสุดเนื่องจากอาร์กิวเมนต์เป็นสตริงที่สิ้นสุดด้วยค่า null แบบ C

หากคุณต้องการขุดจริงๆคุณสามารถดูที่มาของการใช้งานโอเพ่นซอร์ส บน Linux, แหล่งที่มาของpsไม่ได้เป็นที่น่าสนใจที่คุณจะเห็นมีก็คือว่ามันอ่านอาร์กิวเมนต์บรรทัดคำสั่งจากระบบแฟ้ม procใน รหัสที่สร้างเนื้อหาของไฟล์นี้อยู่ในเคอร์เนลในใน ส่วนหนึ่งของหน่วยความจำของกระบวนการ (เข้าถึงด้วย) ไปจากที่อยู่ไปที่; ที่อยู่เหล่านี้จะถูกบันทึกไว้ในเคอร์เนลเมื่อกระบวนการเริ่มต้นและไม่สามารถเปลี่ยนแปลงได้ในภายหลัง/proc/PID/cmdlineproc_pid_cmdline_readfs/proc/base.caccess_remote_vmmm->arg_startmm->arg_end

ภูตบางคนใช้ความสามารถในการสะท้อนให้เห็นถึงสถานะของพวกเขาเช่นที่พวกเขาเปลี่ยนพวกเขาargv[1]เป็นสตริงเหมือนstartingหรือหรือavailable exitingหลายตัวแปรยูนิกซ์มีsetproctitleฟังก์ชั่นการทำเช่นนี้ บางโปรแกรมใช้ความสามารถนี้เพื่อซ่อนข้อมูลที่เป็นความลับ โปรดทราบว่านี่เป็นการใช้งานที่ จำกัด เนื่องจากอาร์กิวเมนต์บรรทัดคำสั่งสามารถมองเห็นได้ในขณะที่กระบวนการเริ่มต้นขึ้น

ภาษาระดับสูงส่วนใหญ่คัดลอกอาร์กิวเมนต์ไปยังวัตถุสตริงและไม่ให้วิธีการแก้ไขที่เก็บข้อมูลดั้งเดิม นี่คือโปรแกรม C ที่แสดงความสามารถนี้โดยการเปลี่ยนargvองค์ประกอบโดยตรง

#include <stdlib.h>
#include <stdio.h>
#include <string.h>
int main(int argc, char *argv[])
{
    int i;
    system("ps -p $PPID -o args=");
    for (i = 0; i < argc; i++)
    {
        memset(argv[i], '0' + (i % 10), strlen(argv[i]));
    }
    system("ps -p $PPID -o args=");
    return 0;
}

ตัวอย่างผลลัพธ์:

./a.out hello world
0000000 11111 22222

คุณสามารถเห็นargvการดัดแปลงในซอร์สโค้ดของขด Curl กำหนดฟังก์ชั่นcleanargในการsrc/tool_paramhlp.cmemsetที่ใช้ในการเปลี่ยนช่องว่างอาร์กิวเมนต์ทั้งหมดโดยใช้ ในsrc/tool_getparam.cฟังก์ชั่นนี้ใช้ไม่กี่ครั้งเช่นโดยการใส่รหัสผ่านของผู้ใช้ซ้ำ เนื่องจากฟังก์ชันถูกเรียกใช้จากการวิเคราะห์พารามิเตอร์ฟังก์ชันจะเกิดขึ้นในช่วงต้นของการเรียกใช้ curl แต่การทิ้งบรรทัดคำสั่งก่อนที่สิ่งนี้จะยังคงแสดงรหัสผ่านใด ๆ

เนื่องจากอาร์กิวเมนต์จะถูกเก็บไว้ในหน่วยความจำของกระบวนการจึงไม่สามารถเปลี่ยนแปลงได้จากภายนอกยกเว้นโดยใช้ดีบักเกอร์

คำตอบอื่น ๆ ตอบคำถามได้ดีในลักษณะทั่วไป หากต้องการตอบโดยเฉพาะ " ผลที่ได้นี้ประสบความสำเร็จได้อย่างไรมันอยู่ที่ไหนสักแห่งในซอร์สโค้ดของขด? ":

ในส่วนของการโต้แย้งการแยกของรหัสที่มาขดที่-uตัวเลือกที่มีการจัดการดังนี้

    case 'u':
      /* user:password  */
      GetStr(&config->userpwd, nextarg);
      cleanarg(nextarg);
      break;

และcleanarg()ฟังก์ชั่นถูกกำหนดดังนี้:

void cleanarg(char *str)
{
#ifdef HAVE_WRITABLE_ARGV
  /* now that GetStr has copied the contents of nextarg, wipe the next
   * argument out so that the username:password isn't displayed in the
   * system process list */
  if(str) {
    size_t len = strlen(str);
    memset(str, ' ', len);
  }
#else
  (void)str;
#endif
}

ดังนั้นเราจึงสามารถเห็นได้อย่างชัดเจนว่าชื่อผู้ใช้: อาร์กิวเมนต์รหัสผ่านในargvถูกเขียนทับด้วยช่องว่างตามที่อธิบายโดยคำตอบอื่น ๆ

กระบวนการไม่เพียง แต่อ่านพารามิเตอร์เท่านั้น แต่ยังสามารถเขียนได้

ฉันไม่ใช่นักพัฒนาดังนั้นฉันไม่คุ้นเคยกับสิ่งนี้ แต่อาจเป็นไปได้จากภายนอกด้วยวิธีการคล้ายกับการเปลี่ยนแปลงของพารามิเตอร์สภาพแวดล้อม:

https://stackoverflow.com/questions/205064/is-there-a-way-to-change-another-processs-environment-variables