linux下system函数的简单分析-6ren

linux下system函数的简单分析

转载作者：qq735679552 更新时间：2022-09-28 22:32:09

CFSDN坚持开源创造价值，我们致力于搭建一个资源共享平台，让每一个IT人在这里找到属于你的精彩世界.

这篇CFSDN的博客文章linux下system函数的简单分析由作者收集整理，如果你对这篇文章有兴趣，记得点赞哟.

简单分析了linux下system函数的相关内容，具体内容如下。

 
    ? 
   
         int 
        
         __libc_system (const char *line) 
        
         { 
        
         if 
         (line == NULL) 
        
         /* Check that we have a  
         command 
         processor available. It might 
        
         not be available after a chroot(),  
         for 
         example. */ 
        
         return 
         do_system ( 
         "exit 0" 
         ) == 0; 
        
         return 
         do_system (line); 
        
         } 
        
         weak_alias (__libc_system, system)

代码位于glibc/sysdeps/posix/system.c，这里system是__libc_system的弱别名，而__libc_system是do_system的前端函数，进行了参数的检查，接下来看do_system函数.

 
    ? 
   
         static int 
        
         do_system (const char *line) 
        
         { 
        
         int status, save; 
        
         pid_t pid; 
        
         struct sigaction sa; 
        
         #ifndef _LIBC_REENTRANT 
        
         struct sigaction intr, quit; 
        
         #endif 
        
         sigset_t omask; 
        
         sa.sa_handler = SIG_IGN; 
        
         sa.sa_flags = 0; 
        
         __sigemptyset (&sa.sa_mask); 
        
         DO_LOCK (); 
        
         if 
         (ADD_REF () == 0) 
        
         { 
        
         if 
         (__sigaction (SIGINT, &sa, &intr) < 0) 
        
         { 
        
         (void) SUB_REF (); 
        
         goto out; 
        
         } 
        
         if 
         (__sigaction (SIGQUIT, &sa, &quit) < 0) 
        
         { 
        
         save = errno; 
        
         (void) SUB_REF (); 
        
         goto out_restore_sigint; 
        
         } 
        
         } 
        
         DO_UNLOCK (); 
        
         /* We reuse the bitmap  
         in 
         the  
         'sa' 
         structure. */ 
        
         __sigaddset (&sa.sa_mask, SIGCHLD); 
        
         save = errno; 
        
         if 
         (__sigprocmask (SIG_BLOCK, &sa.sa_mask, &omask) < 0) 
        
         { 
        
         #ifndef _LIBC 
        
         if 
         (errno == ENOSYS) 
        
         __set_errno (save); 
        
         else 
        
         #endif 
        
         { 
        
         DO_LOCK (); 
        
         if 
         (SUB_REF () == 0) 
        
         { 
        
         save = errno; 
        
         (void) __sigaction (SIGQUIT, &quit, (struct sigaction *) NULL); 
        
         out_restore_sigint: 
        
         (void) __sigaction (SIGINT, &intr, (struct sigaction *) NULL); 
        
         __set_errno (save); 
        
         } 
        
         out: 
        
         DO_UNLOCK (); 
        
         return 
         -1; 
        
         } 
        
         } 
        
         #ifdef CLEANUP_HANDLER 
        
         CLEANUP_HANDLER; 
        
         #endif 
        
         #ifdef FORK 
        
         pid = FORK (); 
        
         #else 
        
         pid = __fork (); 
        
         #endif 
        
         if 
         (pid == (pid_t) 0) 
        
         { 
        
         /* Child side. */ 
        
         const char *new_argv[4]; 
        
         new_argv[0] = SHELL_NAME; 
        
         new_argv[1] =  
         "-c" 
         ; 
        
         new_argv[2] = line; 
        
         new_argv[3] = NULL; 
        
         /* Restore the signals. */ 
        
         (void) __sigaction (SIGINT, &intr, (struct sigaction *) NULL); 
        
         (void) __sigaction (SIGQUIT, &quit, (struct sigaction *) NULL); 
        
         (void) __sigprocmask (SIG_SETMASK, &omask, (sigset_t *) NULL); 
        
         INIT_LOCK (); 
        
         /* Exec the shell. */ 
        
         (void) __execve (SHELL_PATH, (char *const *) new_argv, __environ); 
        
         _exit (127); 
        
         } 
        
         else 
         if 
         (pid < (pid_t) 0) 
        
         /* The fork failed. */ 
        
         status = -1; 
        
         else 
        
         /* Parent side. */ 
        
         { 
        
         /* Note the system() is a cancellation point. But since we call 
        
         waitpid()  
         which 
         itself is a cancellation point we  
         do 
         not 
        
         have to  
         do 
         anything here. */ 
        
         if 
         (TEMP_FAILURE_RETRY (__waitpid (pid, &status, 0)) != pid) 
        
         status = -1; 
        
         } 
        
         #ifdef CLEANUP_HANDLER 
        
         CLEANUP_RESET; 
        
         #endif 
        
         save = errno; 
        
         DO_LOCK (); 
        
         if 
         ((SUB_REF () == 0 
        
         && (__sigaction (SIGINT, &intr, (struct sigaction *) NULL) 
        
         | __sigaction (SIGQUIT, &quit, (struct sigaction *) NULL)) != 0) 
        
         || __sigprocmask (SIG_SETMASK, &omask, (sigset_t *) NULL) != 0) 
        
         { 
        
         #ifndef _LIBC 
        
         /* glibc cannot be used on systems without waitpid. */ 
        
         if 
         (errno == ENOSYS) 
        
         __set_errno (save); 
        
         else 
        
         #endif 
        
         status = -1; 
        
         } 
        
         DO_UNLOCK (); 
        
         return 
         status; 
        
         } 
        
         do_system

首先函数设置了一些信号处理程序，来处理SIGINT和SIGQUIT信号，此处我们不过多关心，关键代码段在这里。

 
    ? 
   
         #ifdef FORK 
        
         pid = FORK (); 
        
         #else 
        
         pid = __fork (); 
        
         #endif 
        
         if 
         (pid == (pid_t) 0) 
        
         { 
        
         /* Child side. */ 
        
         const char *new_argv[4]; 
        
         new_argv[0] = SHELL_NAME; 
        
         new_argv[1] =  
         "-c" 
         ; 
        
         new_argv[2] = line; 
        
         new_argv[3] = NULL; 
        
         /* Restore the signals. */ 
        
         (void) __sigaction (SIGINT, &intr, (struct sigaction *) NULL); 
        
         (void) __sigaction (SIGQUIT, &quit, (struct sigaction *) NULL); 
        
         (void) __sigprocmask (SIG_SETMASK, &omask, (sigset_t *) NULL); 
        
         INIT_LOCK (); 
        
         /* Exec the shell. */ 
        
         (void) __execve (SHELL_PATH, (char *const *) new_argv, __environ); 
        
         _exit (127); 
        
         } 
        
         else 
         if 
         (pid < (pid_t) 0) 
        
         /* The fork failed. */ 
        
         status = -1; 
        
         else 
        
         /* Parent side. */ 
        
         { 
        
         /* Note the system() is a cancellation point. But since we call 
        
         waitpid()  
         which 
         itself is a cancellation point we  
         do 
         not 
        
         have to  
         do 
         anything here. */ 
        
         if 
         (TEMP_FAILURE_RETRY (__waitpid (pid, &status, 0)) != pid) 
        
         status = -1; 
        
         }

首先通过前端函数调用系统调用fork产生一个子进程，其中fork有两个返回值，对父进程返回子进程的pid，对子进程返回0。所以子进程执行6-24行代码，父进程执行30-35行代码.

子进程的逻辑非常清晰，调用execve执行SHELL_PATH指定的程序，参数通过new_argv传递，环境变量为全局变量__environ.

其中SHELL_PATH和SHELL_NAME定义如下。

 
    ? 
   
         #define  SHELL_PATH  "/bin/sh"  /* Path of the shell. */ 
        
         #define  SHELL_NAME  "sh"    /* Name to give it. */

其实就是生成一个子进程调用/bin/sh -c "命令"来执行向system传入的命令。。

下面其实是我研究system函数的原因与重点:

在CTF的pwn题中，通过栈溢出调用system函数有时会失败，听师傅们说是环境变量被覆盖，但是一直都是懵懂，今天深入学习了一下，总算搞明白了.

在这里system函数需要的环境变量储存在全局变量__environ中，那么这个变量的内容是什么呢.

__environ是在glibc/csu/libc-start.c中定义的，我们来看几个关键语句.

 
    ? 
   
         # define LIBC_START_MAIN __libc_start_main

__libc_start_main是_start调用的函数，这涉及到程序开始时的一些初始化工作，对这些名词不了解的话可以看一下这篇文章。接下来看LIBC_START_MAIN函数.

 
    ? 
   
         STATIC int 
        
         LIBC_START_MAIN (int (*main) (int, char **, char ** MAIN_AUXVEC_DECL), 
        
         int argc, char **argv, 
        
         #ifdef LIBC_START_MAIN_AUXVEC_ARG 
        
         ElfW(auxv_t) *auxvec, 
        
         #endif 
        
         __typeof (main) init, 
        
         void (*fini) (void), 
        
         void (*rtld_fini) (void), void *stack_end) 
        
         { 
        
         /* Result of the  
         'main' 
         function 
         . */ 
        
         int result; 
        
         __libc_multiple_libcs = &_dl_starting_up && !_dl_starting_up; 
        
         #ifndef SHARED 
        
         char **ev = &argv[argc + 1]; 
        
         __environ = ev; 
        
         /* Store the lowest stack address. This is  
         done 
         in 
         ld.so  
         if 
         this is 
        
         the code  
         for 
         the DSO. */ 
        
         __libc_stack_end = stack_end; 
        
         　　　　...... 
        
         /* Nothing fancy, just call the  
         function 
         . */ 
        
         result = main (argc, argv, __environ MAIN_AUXVEC_PARAM); 
        
         #endif 
        
         exit 
         (result); 
        
         }

我们可以看到，在没有define SHARED的情况下，在第19行定义了__environ的值。启动程序调用LIBC_START_MAIN之前，会先将环境变量和argv中的字符串保存起来（其实是保存到栈上），然后依次将环境变量中各项字符串的地址，argv中各项字符串的地址和argc入栈，所以环境变量数组一定位于argv数组的正后方，以一个空地址间隔。所以第17行的&argv[argc + 1]语句就是取环境变量数组在栈上的首地址，保存到ev中，最终保存到__environ中。第203行调用main函数，会将__environ的值入栈，这个被栈溢出覆盖掉没什么问题，只要保证__environ中的地址处不被覆盖即可.

所以，当栈溢出的长度过大，溢出的内容覆盖了__environ中地址中的重要内容时，调用system函数就会失败。具体环境变量距离溢出地址有多远，可以通过在_start中下断查看.

以上就是本文的全部内容，希望对大家的学习有所帮助，也希望大家多多支持我.

最后此篇关于linux下system函数的简单分析的文章就讲到这里了,如果你想了解更多关于linux下system函数的简单分析的内容请搜索CFSDN的文章或继续浏览相关文章，希望大家以后支持我的博客！。

文章推荐： Git 删除远程服务器文件同时保留本地文件实例详解

文章推荐：如何用Python保存语音、图片、视频等信息转发给好友

文章推荐：壁纸神器登陆安卓！Wallpaper Engine新体验

文章推荐： GitHub标星10.8K！快速搭建私人网盘

Java正则表达式，简单
我正在努力实现以下目标，假设我有字符串: ( z ) ( A ( z ) ( A ( z ) ( A ( z ) ( A ( z ) ( A ) ) ) ) ) 我想编写一个正则
CSS水平滚动(简单)
给定: 1 2 3 4 5 6
MySQL填充样例数据(简单)
很难说出这里要问什么。这个问题模棱两可、含糊不清、不完整、过于宽泛或夸夸其谈，无法以目前的形式得到合理的回答。如需帮助澄清此问题以便重新打开，visit the help center . 关闭 1
简单、好懂的Svelte实现原理
大家好，我卡颂。 Svelte问世很久了，一直想写一篇好懂的原理分析文章，拖了这么久终于写了。本文会围绕一张流程图和两个Demo讲解，正确的食用方式是用电脑打开本文，跟着流程图、Demo一
Javascript使用正则验证身份证号(简单)
身份证为15位或者18位，15位的全为数字，18位的前17位为数字，最后一位为数字或者大写字母”X“。与之匹配的正则表达式： ?
强大的jquery插件jqeuryUI做网页对话框效果！简单
我们先来最简单的，网页的登录窗口；不过开始之前，大家先下载jquery的插件本人习惯用了vs2008来做网页了，先添加一个空白页这是最简单的的做法。。。先在body里面插入 <
简单、易用的MySQL官方压力测试工具
1、MySQL自带的压力测试工具 Mysqlslap mysqlslap是mysql自带的基准测试工具,该工具查询数据,语法简单,灵活容易使用.该工具可以模拟多个客户端同时并发的向服务器发出
.NET开源、简单、实用的数据库文档生成工具
前言今天大姚给大家分享一款.NET开源（MIT License）、免费、简单、实用的数据库文档（字典）生成工具，该工具支持CHM、Word、Excel、PDF、Html、XML、Markdown等
【Go基础入门教程】Go语言代码风格清晰、简单
Go语言语法类似于C语言，因此熟悉C语言及其派生语言（ C++、 C#、Objective-C 等）的人都会迅速熟悉这门语言。 C语言的有些语法会让代码可读性降低甚至发生歧义。Go语言在C语言的
FFMpeg 简单/快速转换视频文件不适用于任何视频
我正在使用快速将 mkv 转换为 mp4 ffmpeg 命令 ffmpeg -i test.mkv -vcodec copy -acodec copy new.mp4 但不适用于任何 mkv 文件，当
VBA 计算具有特定名称的工作表数(简单)
我想计算我的工作簿中的工作表数量，然后从总数中减去特定的工作表。我错过了什么？这给了我一个对象错误: wsCount = ThisWorkbook.Sheets.Count - ThisWorkboo
Perl 配置::简单
我有一个 perl 文件，用于查看文件夹中是否存在 ini。如果是，它会从中读取，如果不是，它会根据我为它制作的模板创建一个。我在 ini 部分使用 Config::Simple。我的问题是，如果
ios - 如何访问iOS通知中传递的数据(简单)？
尝试让一个 ViewController 通过标准 Cocoa 通知与另一个 ViewController 进行通信。编写了一个简单的测试用例。在我最初的 VC 中，我将以下内容添加到 viewDi
optimization - (简单？)折线图的标签放置
我正在绘制高程剖面图，显示沿路径的高程增益/损失，类似于下面的: Sample Elevation Profile with hand-placed labels http://img38.image
javascript - 使用JS隐藏div(简单)
嗨，所以我需要做的是最终让 regStart 和 regPage 根据点击事件交替可见性，我不太担心编写 JavaScript 函数，但我根本无法让我的 regPage 首先隐藏。这是我的代码。请简单
c++ - 简单 for 循环中的大量时间损失
我有一个非常简单的程序来测量一个函数花费了多少时间。 #include #include #include struct Foo { void addSample(uint64_t s)
JavaScript 简单 BitConverter
我需要为 JavaScript 制作简单的 C# BitConverter。我做了一个简单的BitConverter class BitConverter{ constructor(){} GetBy
javascript - 简单 for 循环出现意外标记错误？
已关闭。这个问题是 not reproducible or was caused by typos 。目前不接受答案。这个问题是由拼写错误或无法再重现的问题引起的。虽然类似的问题可能是 on-top
group-by - 简单.数据分组依据
我是 Simple.Data 的新手。但我很难找到如何进行“分组依据”。我想要的是非常基本的。表格看起来像: +________+ | cards | +________+ | id |
Javascript 简单 UDF
我现在正在开发一个 JS UDF，它看起来遵循编码。通常情况下，由于循环计数为 2，Alert Msg 会出现两次。我想要的是即使循环计数为 3，Alert Msg 也只会出现一次。任何想法都

qq735679552

个人简介

我是一名优秀的程序员,十分优秀！

作者热门文章

滴滴打车优惠券免费领取

全站热门文章

首页

博学

6Ren·AI

商城

linux下system函数的简单分析