Início / unix / Perguntas / 679064
Accepted
zlatonick
Asked: 2021-11-26 08:03:03 +0800 CST

LD_PRELOAD para binário setuid

  • 772

Estou tentando substituir funções malloc/free para o programa, que requer permissões setuid/setgid. Eu uso a variável LD_PRELOAD para esta finalidade. De acordo com a documentação do ld , preciso colocar minha biblioteca em um dos diretórios de pesquisa padrão (escolhei /usr/lib) e dar permissões setuid/setgid. Eu já fiz isso. No entanto, ainda não consigo vincular ao meu arquivo .so, recebendo o erro:

object 'liballoc.so' from LD_PRELOAD cannot be preloaded: ignored

Quais podem ser as possíveis razões para isso? Testei este arquivo .so em programas que não possuem permissões setuid/setgid e tudo funciona bem. SO: Red Hat 7.0

linux rhel

3 respostas

  1. Best Answer

    De acordo com a documentação do ld, preciso colocar minha biblioteca em um dos diretórios de pesquisa padrão (escolhei /usr/lib)

    Esse foi o erro. Você deveria tê-lo colocado /usr/lib64(supondo que sua máquina seja x86_64).

    Acabei de tentar a receita da página de manual em uma VM Centos 7 (que deve ser ~idêntica ao RHEL 7) e funciona:

    Como raiz:

    cynt# cc -shared -fPIC -xc - <<<'char *setlocale(int c, const char *l){ errx(1, "not today"); }' -o /usr/lib64/liblo.so
cynt# chmod 4755 /usr/lib64/liblo.so

    Como um usuário comum com um programa setuid:

    cynt$ LD_PRELOAD=liblo.so su -
su: not today

    Se é uma boa ideia usar esse recurso é uma questão totalmente diferente (IMHO, não é).

    • 10

  2. man ld.so

    Modo de execução segura
    Por motivos de segurança, se o vinculador dinâmico determinar que um binário deve ser executado no modo de execução segura, os efeitos de algumas variáveis ​​de ambiente são anulados ou modificados
    [...]
    Um binário é executado no modo de execução segura se

    • Os IDs de usuário reais e efetivos do processo diferem

    [...]
    LD_PRELOAD
    No modo de execução segura, os nomes de caminho de pré-carregamento contendo barras são ignorados. Além disso, os objetos compartilhados são pré-carregados apenas dos diretórios de pesquisa padrão e somente se tiverem o bit de modo set-user-ID ativado (o que não é típico).

    Se um binário SUID for executado, ocorre esta situação: o UID real e o UID efetivo diferem. Mas se este binário executar um binário diferente (não-SUID), o EUID do pai se tornará o RUID e o EUID do filho:

    sudo sleep 1000 &

ps -o pid,ruid,euid,args --pid $! --ppid $!
  PID  RUID  EUID COMMAND
 7286  1000     0 sudo sleep 1000
 7287     0     0 sleep 1000

    Então, se você quiser evitar as restrições LD_PRELOAD, você pode chamar seu binário via sudo ou criar um binário SUID wrapper que chama o binário real.

    • 6

  3. A razão para isso é evitar a elevação de código malicioso. O programa AC não inicia a execução em main(). Em vez disso, a biblioteca de tempo de execução C é chamada primeiro, que configura seu ambiente (incluindo os fluxos STDIO), quaisquer variáveis ​​globais que não sejam constantes de tempo de compilação e, em seguida, chama main().

    Um agente mal-intencionado pode usar LD_PRELOAD= para substituir a biblioteca libc.o por uma biblioteca personalizada com uma função de inicialização modificada que faz (por exemplo) - restaura LD_PRELOAD e, em seguida, invoca /bin/sh. Se LD_PRELOAD= não for ignorado para um processo SUID, esse usuário poderá executar /bin/passwd e agora terá um shell de root. A partir daí, eles agora podem instalar um rootkit, etc.

    • 2

relate perguntas