system（）vs execve（）

Question

system()和execve()都可以用来在程序中执行另一个命令。为什么在设置UID程序中，system()是危险的，而execve()是安全的？

Answer 1

system()和execve()以不同的方式工作。 system()将始终调用shell，并且该shell将作为单独的进程执行该命令（这就是为什么当您使用system()时可以在命令行中使用通配符和其他shell工具的原因）。

execve()（和exec()家族中的其他函数）将当前进程替换为直接生成的进程（execve()函数不会返回，除非发生故障）。实际上，system()实现应该使用一系列调用fork(),execve()和wait()来执行其功能。

当然，这两者都是危险的，具体取决于当进程具有root权限时正在执行的内容。但是，由于它使用了额外的shell“层”，因为它会在您的问题（即进程具有suid位）的情况下调用根shell时打开机房安全漏洞，所以它会带来一些额外的危险。

Answer 2

system将调用shell（sh）执行作为参数发送的命令。 system的问题，因为shell行为取决于运行该命令的用户。一个小例子：

创建文件test.c：

#include <stdio.h> 

int main(void) { 
    if (system ("ls") != 0) 
     printf("Error!"); 
    return 0; 
} 

然后：

$ gcc test.c -o test 

$ sudo chown root:root test 

$ sudo chmod +s test 

$ ls -l test 
-rwsr-sr-x 1 root root 6900 Dec 12 17:53 test 

创建在当前目录中名为ls脚本：

$ cat > ls 
#!/bin/sh 

/bin/sh 

$ chmod +x ls 

现在：

$ PATH=. ./test 
# /usr/bin/id 
uid=1000(cuonglm) gid=1000(cuonglm) euid=0(root) egid=0(root) groups=0(root), 
24(cdrom),25(floppy),29(audio),30(dip),44(video),46(plugdev),105(scanner), 
110(bluetooth),111(netdev),999(docker),1000(cuonglm) 
# /usr/bin/whoami 
root 

糟糕，你有一个拥有root权限的shell。

execve不调用shell。它执行传递给它的程序作为第一个参数。该程序必须是二进制可执行文件或脚本以shebang行开头。

Answer 3

除了提及的system()安全问题之外，产生的进程继承了主程序的环境。当使用suid时，例如当调用进程设置LD_LIBRARY_PATH-环境变量时，这可能是非常有问题的。

与exec()-家庭调用程序可以调用exec()之前调用程序所需的（和安全）所需的环境设置。

当然，由system()调用的shell本身可能有安全问题。