Наскільки безпечно котувати довільний файл?

Іноді, коли я catпомилково перетворюю бінарний файл, мій термінал зникає. Нічого швидке resetне може виправити, але хіба зловмисник теоретично не міг створити файл, який, відображаючись у терміналі, виконав якийсь довільний код? За допомогою подвигу в емуляторі терміналу чи іншим способом.

Чи можна використовувати такий вихід, залежить від програми терміналу, і що цей термінал робить залежно від кодів виходу, які надсилаються. Мені невідомі термінальні програми, що мають такі експлуатовані функції, і єдиною проблемою зараз було б, якщо є невідомий перелив буфера чи щось подібне, що може бути використане.

З деякими старими hardwareтерміналами це може бути проблемою при запрограмуванні, наприклад, функціональних клавіш із подібними послідовностями виходу, зберігаючи послідовність команд для цього ключа в апаратному забезпеченні. Вам все одно знадобиться фізична клавіша, щоб активувати це.

Але завжди (як Хоке так справедливо позначає «мозковий розум») люди бажають додати таку особливість, якщо вона вирішить для них проблему, не розуміючи лазівки, яку вони створюють. На мій досвід роботи з програмним забезпеченням з відкритим кодом, це те, що через багато очей, які дивляться на код, це рідше відбувається, як із закритим кодом. (Я пам’ятаю, що в поштовій програмі на Ірисі Silicon Grahpics 'в середині дев’яностих років ви могли включати команди, які потрібно виконати на машині приймачів, реальні шляхи до виконуваних файлів, ....)

Більшість емуляторів терміналів надішлять певну відповідь, якщо вони отримають певні послідовності виходу (ознайомтеся з документацією послідовностей керування xterm ). Наприклад, ви можете надіслати \e[0cемулятор, подібний до VT100, і він надішле назад атрибути пристрою, щось на зразок \e[?1;2c (це, мабуть, те, що спостерігав Кіт.) Але ці відповіді не є довільними рядками. Однак 2cпогана ідея мати виконавчий файл, названий десь у вашій системі, який робить щось фатальне.

Оновлення: ризики насправді більші, ніж я думав, через можливість встановити заголовок вікна xterm та відправити назад заголовок, використовуючи відповідні послідовності скасування ( http://www.securityfocus.com/bid/6940/ ) . На відміну від наведеного вище прикладу, заголовок може бути майже довільним рядком.

Це змінює назву терміналу в терміналі GNOME 3.6.1, якщо тільки це не буде замінено на зразок PS1 :

printf "\033]2;Script Kiddie was here\007"

Тепер відкрийте нове вікно терміналу GNOME, щоб перевірити catверсію:

printf "\033]2;Script Kiddie was here\007" > test.bin
cat test.bin

Так, це також встановлює назву терміналу.

Раніше виникала проблема безпеки з кодом втечі, що призводить до того, що заголовок друкується в командному рядку , так що ви можете ефективно створити файл, який після catредагування буде надруковано (я не впевнений, чи можете ви там помістити новий рядок) довільні команди. Ой!

Хоча використання catможе не призвести до виконання коду, коди евакуації будуть оброблені, так що ви можете легко ввести в оману, вважаючи, що сценарій нешкідливий, оскільки він справді є шкідливим.

Ось приклад команди, яку ви можете запустити, яка створить "шкідливий" скрипт оболонки:

echo -e '#!/bin/sh\necho "...doing something bad here..."\nexit\n\033[A\033[Aecho "Hello dear reader, I am just a harmless script, safe to run me!"' > demo.sh
chmod a+x demo.sh

Оглядаючи файл, він здається досить нешкідливим:

$ cat demo.sh
#!/bin/sh
echo "Hello dear reader, I am just a harmless script, safe to run me!"

Але якщо ви насправді запускаєте це ...

$ ./demo.sh 
...doing something bad here...

Сценарій працює, включаючи необроблені коди евакуації для переміщення курсору на пару рядків, тому решта сценарію записується вгорі шкідливого коду, приховуючи його.

Майже будь-яка інша програма розкриє сценарій того, що це таке. Тільки програма , які не обробляють вміст файлу (наприклад cat, moreі less -r) буде виробляти оманливий вихід.

Слід зазначити , що tailі headтакож виробляють один і той же вихід вводить в оману. Тому використання "менше + F" безпечніше, ніж "хвіст -f".

Я напевно відчув, як xtermвставити до себе довільні символи так, ніби я їх набрав. І іноді це, мабуть, включило персонаж нового рядка, так що я отримав ngwerm:0riu: command not foundвідповідь. Я не бачу причини, щоб хтось не міг створити файл, який би надсилав конкретні, шкідливі команди. Так так, принаймні деякі термінали сприйнятливі до атак з довільним впливом.

Ну, термінальний емулятор в основному просто роздруковує надіслані до нього символи.

Все, крім простого друку символу на поточній позиції, як-от встановлення нової позиції, зміна кольору, зміна заголовка тощо, робиться за допомогою послідовностей втечі.

Набір підтримуваних послідовностей евакуації зазвичай складається з чітко визначених стандартів, таких як ANSI , який не визначає спосіб запустити інші процеси. Хоча можна було б реалізувати таку послідовність, я не знаю, що будь-який термінальний емулятор навмисно дозволяє такі речі.

Теоретично помилка, як переповнення буфера, може використовуватися для запуску довільної функціональності. Але це було б можливо і в будь-якому іншому бінарному.

Взагалі зазвичай немає ризику отримати довільний файл. Мій звичайний метод аналізу файлу полягає в наступному:

$ file <mystery file>
$ strings <mystery file> | less

Вищезазначене дозволяє мені визначати тип файлу за допомогою fileкоманди, і stringsкоманда дозволяє мені вивантажувати будь-які ідентифікуючі рядки з потенційних бінарних файлів, в яких я не впевнений у їх лінії.

приклад

$ file /bin/ls
/bin/ls: ELF 64-bit LSB executable, x86-64, version 1 (SYSV), dynamically linked (uses shared libs), for GNU/Linux 2.6.32, stripped

$ strings /bin/ls|less
...
across
vertical
single-column
force
never
auto
if-tty
slash
%b %e  %Y
%b %e %H:%M
long-iso
main
posix-
sort_files
?pcdb-lswd
dev_ino_pop
Try `%s --help' for more information.
Usage: %s [OPTION]... [FILE]...
List information about the FILEs (the current directory by default).
Sort entries alphabetically if none of -cftuvSUX nor --sort.
Mandatory arguments to long options are mandatory for short options too.
  -a, --all                  do not ignore entries starting with .
  -A, --almost-all           do not list implied . and ..
...