system（）vs execve（）

Question

system()和execve()都可以用來在程序中執行另一個命令。爲什麼在設置UID程序中，system()是危險的，而execve()是安全的？

Answer 1

system()和execve()以不同的方式工作。 system()將始終調用shell，並且該shell將作爲單獨的進程執行該命令（這就是爲什麼當您使用system()時可以在命令行中使用通配符和其他shell工具的原因）。

execve()（和exec()家族中的其他函數）將當前進程替換爲直接生成的進程（execve()函數不會返回，除非發生故障）。實際上，system()實現應該使用一系列調用fork(),execve()和wait()來執行其功能。

當然，這兩者都是危險的，具體取決於當進程具有root權限時正在執行的內容。但是，由於它使用了額外的shell「層」，因爲它會在您的問題（即進程具有suid位）的情況下調用根shell時打開機房安全漏洞，所以它會帶來一些額外的危險。

Answer 2

system將調用shell（sh）執行作爲參數發送的命令。 system的問題，因爲shell行爲取決於運行該命令的用戶。一個小例子：

創建文件test.c：

#include <stdio.h> 

int main(void) { 
    if (system ("ls") != 0) 
     printf("Error!"); 
    return 0; 
} 

然後：

$ gcc test.c -o test 

$ sudo chown root:root test 

$ sudo chmod +s test 

$ ls -l test 
-rwsr-sr-x 1 root root 6900 Dec 12 17:53 test 

創建在當前目錄中名爲ls腳本：

$ cat > ls 
#!/bin/sh 

/bin/sh 

$ chmod +x ls 

現在：

$ PATH=. ./test 
# /usr/bin/id 
uid=1000(cuonglm) gid=1000(cuonglm) euid=0(root) egid=0(root) groups=0(root), 
24(cdrom),25(floppy),29(audio),30(dip),44(video),46(plugdev),105(scanner), 
110(bluetooth),111(netdev),999(docker),1000(cuonglm) 
# /usr/bin/whoami 
root 

糟糕，你有一個擁有root權限的shell。

execve不調用shell。它執行傳遞給它的程序作爲第一個參數。該程序必須是二進制可執行文件或腳本以shebang行開頭。

Answer 3

除了提及的system()安全問題之外，產生的進程繼承了主程序的環境。當使用suid時，例如當調用進程設置LD_LIBRARY_PATH-環境變量時，這可能是非常有問題的。

與exec()-家庭調用程序可以調用exec()之前調用程序所需的（和安全）所需的環境設置。

當然，由system()調用的shell本身可能有安全問題。