在C和Pascal中禁用system()和exec()函数

问题描述 投票:3回答:6

有没有办法通过使用任何编译器参数或修改标题/单元文件来禁用C / C ++和Pascal中的system()exec()函数? (这是一个Windows)

我尝试使用-Dsystem=NONEXIST用于gcc和g ++,但#include <cstdio>导致编译错误。

编辑:当然我知道他们可以使用#undef system来绕过防御,所以我试图在stdlib.h中注释掉system函数行,但这也行不通。

EDIT2(评论):这是一个系统,用户向其提交程序,服务器使用不同的输入数据编译和运行它,然后将程序输出与预先计算的标准输出进行比较,以查看程序是否正确。现在一些用户发送像system("shutdown -s -t 0");这样的代码来关闭服务器。

服务器正在运行Windows系统,因此我没有任何chroot环境。此外,服务器应用程序是封闭源代码,因此我无法控制用户提交的程序的执行方式。我能做的是修改编译器命令行参数并修改头文件。

c++ c pascal system-calls
6个回答
4
投票

好吧,你可以尝试:

#define system DontEvenThinkAboutUsingThisFunction
#define exec   OrThisOneYouClown

在头文件中,但我很确定任何值得他们的盐的代码猴子可以绕过这样的“保护”。

我有兴趣理解为什么你认为这是必要的(如果我们更好地理解问题,可能会有更好的解决方案)。

唯一想到的是你想要提供一些类似于Euler项目的在线编译器/运行器。如果是这种情况,那么你可以搜索代码中的字符串system<whitespace>(作为一个选项,但即使这样,一个坚定的一方可以只:

#define InoccuousFunction system

绕过你的防御。

如果是这种情况,你可能想要考虑使用像chroot这样的东西,这样任何人都无法访问任何危险的二进制文件,比如shutdown(并且特定的野兽不应该被普通用户真正运行) - 在换句话说,限制他们的环境,以便他们甚至可以看到的唯一的东西是gcc及其亲属。

您需要进行适当的沙盒操作,因为即使您以某种方式阻止它们运行外部程序,它们仍然可以执行危险的操作,例如覆盖文件或打开套接字连接到自己的盒子以发送您的宝贵信息的内容。


2
投票

一种可能性是创建自己的此类函数版本,并将它们链接到您在服务器上编译/链接的每个程序。如果在对象中找到符号,则优先。

只要确保你得到它们;)

以具有尽可能少的权限的用户身份运行程序会好得多。然后您不必担心他们删除/访问系统文件,关闭系统等。

编辑:当然,按照我的逻辑,用户也可以提供自己的函数版本,它可以动态库加载和符号查找来查找原始函数。你真的只需要沙箱。


1
投票

对于unixoid环境,有Geordi,它使用操作系统的大量帮助来沙箱化要执行的代码。

基本上你想在非常有限的环境中运行代码; Linux提供了一个特殊的进程标志,用于禁用任何系统调用,这些调用可以访问进程在设置标志时没有的资源(即它不允许打开新文件,但任何已打开的文件可能是正常访问)。

我认为Windows应该有类似的机制。


0
投票

不是真的(因为调用一些库函数会调用system本身的技巧,或者因为产生进程的功能只能通过forkexecve系统调用来完成,它们仍然可用......)。

但你为什么这么问?


0
投票

您永远不会(因为您已经发现)依赖用户输入是安全的。 systemexecXX不太可能是你唯一的问题。

这意味着您有以下选择:

  1. 在某种chrooted监狱中运行该程序(不知道如何在Windows上执行此操作)
  2. 在编译之前扫描代码以确保没有“非法”功能。
  3. 编译后扫描可执行二进制文件以确保它不使用任何“禁用”库函数。
  4. 防止链接器链接到任何外部库,包括unix上的标准C库(libc)。然后,您创建自己的“libc”,其中明确允许某些功能。

unix上的数字3可以使用像readelf或objdump这样的实用程序来检查链接的符号。这也可以使用二进制文件描述符库来完成。

4号将需要摆弄编译器标志,但可能是上面列出的选项中最安全的。


0
投票

你可以使用这样的东西

#include<stdlib.h>
#include<unistd.h>
#define system  <stdlib.h>
#define exec   <unistd.h>

在这种情况下,即使用户想要交换宏值,他们也不能。如果他们试图像这样交换宏值

#define <stdlib.h> system
#define <unistd.h> exec

他们不能,因为C不会在宏中允许这种类型的名字。即使他们以某种方式交换这些值,我们也包含了那些会产生编译时错误的头文件。

© www.soinside.com 2019 - 2024. All rights reserved.