“运行任何将不可信数据传递给将参数解释为命令的命令的命令”

这实际上与引用无关，而是与参数处理有关。

考虑一个危险的例子：

find -exec sh -c "something {}" \;

• 这由 shell 解析，并分成六个单词：find, -exec, sh, -c, something {}（不再加引号）, ;. 没有什么可扩展的。shellfind以这六个单词作为参数运行。

• 例如，当find找到要处理的内容时foo; rm -rf $HOME，它会替换{}为，并使用参数、和foo; rm -rf $HOME运行。shsh-csomething foo; rm -rf $HOME

• sh现在看到-c, 并作为结果解析something foo; rm -rf $HOME（第一个非选项参数）并执行结果。

现在考虑更安全的变体：

find -exec sh -c 'something "$@"' sh {} \;

• shellfind使用参数find, -exec, sh, -c, something "$@", sh, {},运行;。

• 现在当findfind时，它再次foo; rm -rf $HOME替换，并使用参数, , , ,运行。{}shsh-csomething "$@"shfoo; rm -rf $HOME

• sh看到-c并解析something "$@"为要运行的命令，sh以及foo; rm -rf $HOME作为位置参数（从 开始$0），扩展"$@"为foo; rm -rf $HOME 单个值，并 something使用单个参数运行foo; rm -rf $HOME。

您可以使用printf. 创建一个新目录，输入它，然后运行

touch "hello; echo pwned"

运行第一个变体如下

find -exec sh -c "printf \"Argument: %s\n\" {}" \;

生产

Argument: .
Argument: ./hello
pwned

而第二个变体，运行为

find -exec sh -c 'printf "Argument: %s\n" "$@"' sh {} \;

生产

Argument: .
Argument: ./hello; echo pwned

第1部分：

find只使用文本替换。

是的，如果你没有引用它，就像这样：

find . -type f -exec sh -c "echo {}" \;

并且攻击者能够创建一个名为 的文件; echo owned，然后它将执行

sh -c "echo ; echo owned"

这将导致 shell 运行echothen echo owned。

但是如果你添加了引号，攻击者可以结束你的引号，然后通过创建一个名为的文件将恶意命令放在它后面'; echo owned：

find . -type f -exec sh -c "echo '{}'" \;

这将导致 shell 运行echo '', echo owned.

（如果将双引号换成单引号，攻击者也可以使用其他类型的引号。）

第2部分：

在find -exec sh -c 'something "$@"' sh {} \;中，{}最初不是由 shell 解释的，而是直接用 执行的execve，因此添加 shell 引号无济于事。

find -exec sh -c 'something "$@"' sh "{}" \;

没有效果，因为 shell 在运行find.

find -exec sh -c 'something "$@"' sh "'{}'" \;

添加 shell 没有特别处理的引号，因此在大多数情况下，它只是意味着该命令不会执行您想要的操作。

将其扩展为/tmp/foo;, rm, -rf,$HOME应该不是问题，因为这些是 的参数something，并且something可能不会将其参数视为要执行的命令。

第 3 部分：

我假设类似的考虑适用于任何接受不受信任的输入并将其作为命令（的一部分）运行的东西，例如xargsand parallel.

1. 问题的原因是否find -exec sh -c "something {}" \;在于替换 for{}没有被引用，因此不被视为单个字符串？

从某种意义上说，但在这里引用无济于事。被替换的文件名{}可以包含任何字符，包括引号。无论使用何种形式的引用，文件名都可以包含相同的内容，并且可以“中断”引用。

2. ...但是由于{}没有被引用，是不是"$@"也和原来的命令有同样的问题？例如，"$@"将扩展为"/tmp/foo;", "rm", "-rf", and "$HOME"?

No."$@"扩展为位置参数，作为单独的单词，并且不会进一步拆分它们。在这里，它本身{}是一个参数，并将当前文件名也作为一个不同的参数传递给. 它可以直接作为 shell 脚本中的变量使用，它本身并不作为 shell 命令处理。findfindsh

...为什么{}没有转义或引用？

在大多数 shell 中，它不需要。如果你运行fish，它需要：fish -c 'echo {}'打印一个空行。但是如果你引用它并不重要，shell只会删除引号。

3. 你能举出其他例子吗...

每当您在被视为某种代码^(*)的字符串中按原样扩展文件名（或另一个不受控制的字符串）时，就有可能执行任意命令。

例如，这会$f直接扩展 Perl 代码，如果文件名包含双引号，则会导致问题。文件名中的引号将结束 Perl 代码中的引号，文件名的其余部分可以包含任何 Perl 代码：

touch '"; print "HELLO";"'
for f in ./*; do
    perl -le "print \"size: \" . -s \"$f\""
done

（文件名必须有点奇怪，因为 Perl 在运行任何代码之前都会预先解析整个代码。所以我们必须避免解析错误。）

虽然这可以通过一个参数安全地传递它：

for f in ./*; do
    perl -le 'print "size: " . -s $ARGV[0]' "$f"
done

（直接从一个shell运行另一个shell是没有意义的，但是如果你这样做了，find -exec sh ...情况就差不多了）

_{（* 某种代码包括 SQL，所以必须使用 XKCD：https ://xkcd.com/327/加上解释： https ://www.explainxkcd.com/wiki/index.php/Little_Bobby_Tables ）}

您的关注正是 GNU Parallel 引用输入的原因：

touch "hello; echo pwned"
find . -print0 | parallel -0 printf \"Argument: %s\\n\" {}

这不会运行echo pwned。

它会运行一个 shell，所以如果你扩展你的命令，你不会突然感到惊讶：

# This _could_ be run without spawining a shell
parallel "grep -E 'a|bc' {}" ::: foo
# This cannot
parallel "grep -E 'a|bc' {} | wc" ::: foo

有关 spawning-a-shell 问题的更多详细信息，请参见：https ://www.gnu.org/software/parallel/parallel_design.html#Always-running-commands-in-a-shell