wget漏洞影响el7,CVE-2014-4877

2014 年 10 月 30 日 admin 发表回复

网络工具wget被发现存在安全漏洞（CVE-2014-4877）。

当wget在用于递归下载FTP站点时，攻击者可通过构造恶意的符号链接文件触发该漏洞，从而在wget用户的系统中创建任意文件、目录或符号链接并设置访问权限。请广大用户留意各自所使用版本的更新情况，及时安装补丁/升级。

MITRE CVE 词典对这个问题解释如下：
** RESERVED ** This candidate has been reserved by an organization or individual that will use it when announcing a new security problem. When the candidate has been publicized, the details for this candidate will be provided.

参照：

https://access.redhat.com/security/cve/CVE-2014-4877
http://www.rapid7.com/db/modules/auxiliary/server/wget_symlink_file_write
https://community.rapid7.com/community/metasploit/blog/2014/10/28/r7-2014-15-gnu-wget-ftp-symlink-arbitrary-filesystem-access
https://bugzilla.redhat.com/show_bug.cgi?id=1139181

https://access.redhat.com/security/cve/CVE-2014-4877

http://www.rapid7.com/db/modules/auxiliary/server/wget_symlink_file_write

https://community.rapid7.com/community/metasploit/blog/2014/10/28/r7-2014-15-gnu-wget-ftp-symlink-arbitrary-filesystem-access

https://bugzilla.redhat.com/show_bug.cgi?id=1139181

系统管理

USB install linux，关于ks文件路径的问题(EL7)

2014 年 10 月 21 日 admin 2条评论

在使用USB安装系统时，发现系统在启动的时候，出现无法启动的原因，主要现象表现为/dev/root not exist.解决方法可以采用针对系统识别的不同结果进行修改，在syslinux.cfg文件中将地址改为指定的设备。如：

 ks=hd:sdb1:/ks.cfg.

1	ks=hd:sdb1:/ks.cfg.

在ks文件中，你可以将系统安装到sda的设备中，如:

bootloader --location=mbr --boot-drive=sda
clearpart --all --drives=sda
part /boot --fstype=ext4 --size=500 --ondisk=sda
part / --size=8000 --fstype ext4 --ondisk=sda
part swap --size=4096 --ondisk=sda

bootloader --location=mbr --boot-drive=sda

clearpart --all --drives=sda

part /boot --fstype=ext4 --size=500 --ondisk=sda

part / --size=8000 --fstype ext4 --ondisk=sda

part swap --size=4096 --ondisk=sda

但这样做，对批量的处理来说，可能就比较繁琐了.
我们可以使用以下的方法进行处理，就可以避免手工修改的工作。
syslinux.cfg文件中。

ks=hd:LABEL=Qfong:/ks.cfg(注意LABEL的长度和制作iso时指定LABEL)

1	ks=hd:LABEL=Qfong:/ks.cfg(注意LABEL的长度和制作iso时指定LABEL)

在ks文件中，如果不指定分区，系统会默认将bootloader安装在本次引导启动的盘中，也就是USB所在设备，导致无法继续安装，这时候需要指定bootloader –location=mbr –boot-drive=？ boot-drive=哪个设备？这个需要做判断了，在ks文件中，使用%pre选项，该选项是在安装前执行的script文件.下面我们将判断哪个设备的script写在下面，供大家参考。

#%include /tmp/partitions

#%pre
#!/bin/sh

# find the first drive that doesn’t have removable media and isn’t USB
DIR=”/sys/block”
ROOTDRIVE=””
for DEV in sda sdb sdc sdd sde hda hdb hdc hdd hde; do
  if [ -d $DIR/$DEV ]; then
    readlink -f $DIR/$DEV/device | grep -q /usb
    if [ $? -ne 0 ]; then
      REMOVABLE=`cat $DIR/$DEV/removable`
      if (( $REMOVABLE == 0 )); then
        if [ -z $ROOTDRIVE ]; then
          ROOTDRIVE=$DEV
        fi
      fi
    fi
  fi
done

# Check for RAID controller disks
if [ -z $ROOTDRIVE ]; then
  for DEV in c0d0 c0d1 c0d2 c1d0 c1d1 c1d2; do
    if [ -d $DIR/cciss!$DEV ]; then
      if [ -z $ROOTDRIVE ]; then
        ROOTDRIVE=cciss/$DEV
      fi
    fi
  done
fi

cat << EOF > /tmp/partitions
bootloader –location=mbr –driveorder=$ROOTDRIVE
clearpart –all –drives=$ROOTDRIVE –initlabel
part /boot –fstype=ext3 –size=75 –ondisk=$ROOTDRIVE
part / –fstype=ext3 –size=4096 –ondisk=$ROOTDRIVE –asprimary –grow
part swap –size=2048 –ondisk=$ROOTDRIVE
EOF

#%include /tmp/partitions

#%pre

#!/bin/sh

# find the first drive that doesn’t have removable media and isn’t USB

DIR=”/sys/block”

ROOTDRIVE=””

for DEV in sda sdb sdc sdd sde hda hdb hdc hdd hde; do

if [ -d $DIR/$DEV ]; then

readlink -f $DIR/$DEV/device | grep -q /usb

if [ $? -ne 0 ]; then

REMOVABLE=`cat $DIR/$DEV/removable`

if (( $REMOVABLE == 0 )); then

if [ -z $ROOTDRIVE ]; then

ROOTDRIVE=$DEV

done

# Check for RAID controller disks

if [ -z $ROOTDRIVE ]; then

for DEV in c0d0 c0d1 c0d2 c1d0 c1d1 c1d2; do

if [ -d $DIR/cciss!$DEV ]; then

if [ -z $ROOTDRIVE ]; then

ROOTDRIVE=cciss/$DEV

done

cat << EOF > /tmp/partitions

bootloader –location=mbr –driveorder=$ROOTDRIVE

clearpart –all –drives=$ROOTDRIVE –initlabel

part /boot –fstype=ext3 –size=75 –ondisk=$ROOTDRIVE

part / –fstype=ext3 –size=4096 –ondisk=$ROOTDRIVE –asprimary –grow

part swap –size=2048 –ondisk=$ROOTDRIVE

EOF

系统管理

Linux 系统管理(EL7)-RPM(rpmbuild)篇

2014 年 10 月 20 日 admin 发表回复

1 概述

1.1 功能介绍

RPM 是Redhat PackageManager，最早由RedHat公司制定实施，随后被GNU开源操作系统接受并成为很多Linux系统(RHEL)的既定软件标准。

官网地址：http://en.wikipedia.org/wiki/RPM_Package_Manager

1	官网地址：http://en.wikipedia.org/wiki/RPM_Package_Manager

1.2 工程依赖

本文工程依赖rpm-build软件。

2 环境搭建

2.1环境要求

基础系统 EL7，or SELINUXPLUS.COM Cloud 7。
软件包 rpm-build，vim

1 2	基础系统 EL7，or SELINUXPLUS.COM Cloud 7。软件包 rpm-build，vim

2.2 环境搭建

1 安装软件

Yum install rpm-build -y

1	Yum install rpm-build -y

2 了解结构

drwxr-xr-x. 3 root root   27 Jul 28 15:06 BUILD
drwxr-xr-x. 2 root root    6 Jul 28 10:38 BUILDROOT
drwxr-xr-x. 2 root root    6 Jul 28 10:38 RPMS
drwxr-xr-x. 2 root root 8192 Sep 11 13:28 SOURCES
drwxr-xr-x. 2 root root   91 Sep 11 13:28 SPECS
drwxr-xr-x. 2 root root    6 Jul 28 10:38 SRPMS

drwxr-xr-x. 3 root root 27 Jul 28 15:06 BUILD

drwxr-xr-x. 2 root root 6 Jul 28 10:38 BUILDROOT

drwxr-xr-x. 2 root root 6 Jul 28 10:38 RPMS

drwxr-xr-x. 2 root root 8192 Sep 11 13:28 SOURCES

drwxr-xr-x. 2 root root 91 Sep 11 13:28 SPECS

drwxr-xr-x. 2 root root 6 Jul 28 10:38 SRPMS

3 src.rpm包组成

.tar.gz源码（可以是别的类型）
.patch补丁软件
spec脚本

.tar.gz源码（可以是别的类型）

.patch补丁软件

spec脚本

4 执行编译工作

Rpmbuild –ba *.spec

1	Rpmbuild –ba *.spec

2.3 配置文件

Spec脚本文件是rpm包组成的重要文件，其配置如下图所示：

<b>Name: </b>软件包的名称，后面可使用%{name}的方式引用
<b>Summary:</b> 软件包的内容概要
<b>Version:</b> 软件的实际版本号，例如：1.0.1等，后面可使用%{version}引用
<b>Release:</b> 发布序列号，例如：1linuxing等，标明第几次打包，后面可使用%{release}引用
<b>Group: </b>软件分组，建议使用标准分组
<b>License:</b> 软件授权方式，通常就是GPL
<b>Source: </b>源代码包，可以带多个用Source1、Source2等源，后面也可以用%{source1}、%{source2}引用
<b>BuildRoot:</b> 这个是安装或编译时使用的“虚拟目录”，考虑到多用户的环境，一般定义为：%{_tmppath}/%{name}-%{version}-%release}-root
或 %{_tmppath}/%{name}-%{version}-%{release}-buildroot-%(%{__id_u} -n}
该参数非常重要，因为在生成rpm的过程中，执行make install时就会把软件安装到上述的路径中，在打包的时候，同样依赖“虚拟目录”为“根目录”进行操作。后面可使用$RPM_BUILD_ROOT 方式引用。

URL: 软件的主页
<b>Vendor:</b> 发行商或打包组织的信息，例如SELINUXPLUS.COM Cloud
<b>Disstribution:</b> 发行版标识
<b>Patch:</b> 补丁源码，可使用Patch1、Patch2等标识多个补丁，使用%patch0或%{patch0}引用
P<b>refix: </b>%{_prefix} 这个主要是为了解决今后安装rpm包时，并不一定把软件安装到rpm中打包的目录的情况。这样，必须在这里定义该标识，并在编写%install脚本的时候引用，才能实现rpm安装时重新指定位置的功能
Prefix: %{_sysconfdir} 这个原因和上面的一样，但由于%{_prefix}指/usr，而对于其他的文件，例如/etc下的配置文件，则需要用%{_sysconfdir}标识
<b>Build Arch:</b> 指编译的目标处理器架构，noarch标识不指定，但通常都是以/usr/lib/rpm/marcros中的内容为默认值
<b>Requires: </b>该rpm包所依赖的软件包名称，可以用&gt;=或&lt;=表示大于或小于某一特定版本，例如：libpng-devel &gt;= 1.0.20 zlib
“&gt;=”号两边需用空格隔开，而不同软件名称也用空格分开
还有例如PreReq、Requires(pre)、Requires(post)、Requires(preun)、Requires(postun)、<b>BuildRequires</b>等都是针对不同阶段的依赖指定
<b>Provides:</b> 指明本软件一些特定的功能，以便其他rpm识别
<b>Packager: </b>打包者的信息
<b>%description</b> 软件的详细说明
spec脚本主体
spec脚本的主体中也包括了很多关键字和描述，下面会一一列举。我会把一些特别需要留意的地方标注出来。
%prep 预处理脚本
%setup -n %{name}-%{version} 把源码包解压并放好
通常是从SOURCES里的包解压到 /BUILD/%{name}-%{version}中。
一般用%setup -c就可以了，但有两种情况：一就是同时编译多个源码包，二就是源码的tar包的名称与解压出来的目录不一致，此时，就需要使用-n参数指定一下了。
%patch 打补丁
通常补丁都会一起在源码tar.gz包中，或放到SOURCES目录下。一般参数为：
%patch -p1 使用前面定义的Patch补丁进行，-p1是忽略patch的第一层目录
%Patch2 -p1 -b xxx.patch 打上指定的补丁，-b是指生成备份文件
&nbsp;
引用
%setup 不加任何选项，仅将软件包打开。
%setup -n newdir 将软件包解压在newdir目录。
%setup -c 解压缩之前先产生目录。
%setup -b num 将第num个source文件解压缩。
%setup -T 不使用default的解压缩操作。
%setup -T -b 0 将第0个源代码文件解压缩。
%setup -c -n newdir 指定目录名称newdir，并在此目录产生rpm套件。
%patch 最简单的补丁方式，自动指定patch level。
%patch 0 使用第0个补丁文件，相当于%patch ?p 0。
%patch -s 不显示打补丁时的信息。
%patch -T 将所有打补丁时产生的输出文件删除。
&nbsp;
%configure 这个不是关键字，而是rpm定义的标准宏命令。意思是执行源代码的configure配置
在BUILD/%{name}-%{version}目录中进行 ，使用标准写法，会引用/usr/lib/rpm/marcros中定义的参数。
另一种不标准的写法是，可参考源码中的参数自定义，例如：
引用
CFLAGS="$RPM_OPT_FLAGS" CXXFLAGS="$RPM_OPT_FLAGS" ./configure --prefix=%{_prefix}
%build 开始构建包
在BUILD/%{name}-%{version}目录中进行make的工作 ，常见写法：
引用
make %{?_smp_mflags} OPTIMIZE="%{optflags}"
都是一些优化参数，定义在/usr/lib/rpm/marcros中
%install 开始把软件安装到虚拟的根目录中
在BUILD/%{name}-%{version}目录中进行make install的操作。这个很重要，因为如果这里的路径不对的话，则下面%file中寻找文件的时候就会失败。 常见内容有：
%makeinstall 这不是关键字，而是rpm定义的标准宏命令。也可以使用非标准写法：引用make DESTDIR=$RPM_BUILD_ROOT install
或 引用make prefix=$RPM_BUILD_ROOT install
需要说明的是，这里的%install主要就是为了后面的%file服务的。所以，还可以使用常规的系统命令：
引用
install -d $RPM_BUILD_ROOT/
cp -a * $RPM_BUILD_ROOT/
%clean 清理临时文件
通常内容为：
引用 [ "$RPM_BUILD_ROOT" != "/" ] &amp;&amp; rm -rf "$RPM_BUILD_ROOT"
rm -rf $RPM_BUILD_DIR/%{name}-%{version}
注意区分$RPM_BUILD_ROOT和$RPM_BUILD_DIR：
$RPM_BUILD_ROOT是指开头定义的BuildRoot，而$RPM_BUILD_DIR通常就是指/usr/src/asianux/BUILD，其中，前面的才是%file需要的。
%pre rpm安装前执行的脚本
%post rpm安装后执行的脚本
%preun rpm卸载前执行的脚本
%postun rpm卸载后执行的脚本
%preun %postun 的区别是什么呢？
前者在升级的时候会执行，后者在升级rpm包的时候不会执行
%files 定义那些文件或目录会放入rpm中
这里会在虚拟根目录下进行，千万不要写绝对路径，而应用宏或变量表示相对路径。 如果描述为目录，表示目录中除%exclude外的所有文件。
%defattr (-,root,root) 指定包装文件的属性，分别是(mode,owner,group)，-表示默认值，对文本文件是0644，可执行文件是0755
%exclude 列出不想打包到rpm中的文件。如果%exclude指定的文件不存在，也会出错的。
%changelog 变更日志（注意时间格式）

100

101

102

103

104

105

106

107

108

109

110

111

112

Name: 软件包的名称，后面可使用%{name}的方式引用

Summary: 软件包的内容概要

Version: 软件的实际版本号，例如：1.0.1等，后面可使用%{version}引用

Release: 发布序列号，例如：1linuxing等，标明第几次打包，后面可使用%{release}引用

Group: 软件分组，建议使用标准分组

License: 软件授权方式，通常就是GPL

Source: 源代码包，可以带多个用Source1、Source2等源，后面也可以用%{source1}、%{source2}引用

BuildRoot: 这个是安装或编译时使用的“虚拟目录”，考虑到多用户的环境，一般定义为：%{_tmppath}/%{name}-%{version}-%release}-root

或 %{_tmppath}/%{name}-%{version}-%{release}-buildroot-%(%{__id_u} -n}

该参数非常重要，因为在生成rpm的过程中，执行make install时就会把软件安装到上述的路径中，在打包的时候，同样依赖“虚拟目录”为“根目录”进行操作。后面可使用$RPM_BUILD_ROOT 方式引用。

URL: 软件的主页

Vendor: 发行商或打包组织的信息，例如SELINUXPLUS.COM Cloud

Disstribution: 发行版标识

Patch: 补丁源码，可使用Patch1、Patch2等标识多个补丁，使用%patch0或%{patch0}引用

Prefix: %{_prefix} 这个主要是为了解决今后安装rpm包时，并不一定把软件安装到rpm中打包的目录的情况。这样，必须在这里定义该标识，并在编写%install脚本的时候引用，才能实现rpm安装时重新指定位置的功能

Prefix: %{_sysconfdir} 这个原因和上面的一样，但由于%{_prefix}指/usr，而对于其他的文件，例如/etc下的配置文件，则需要用%{_sysconfdir}标识

Build Arch: 指编译的目标处理器架构，noarch标识不指定，但通常都是以/usr/lib/rpm/marcros中的内容为默认值

Requires: 该rpm包所依赖的软件包名称，可以用>=或<=表示大于或小于某一特定版本，例如：libpng-devel >= 1.0.20 zlib

“>=”号两边需用空格隔开，而不同软件名称也用空格分开

还有例如PreReq、Requires(pre)、Requires(post)、Requires(preun)、Requires(postun)、BuildRequires等都是针对不同阶段的依赖指定

Provides: 指明本软件一些特定的功能，以便其他rpm识别

Packager: 打包者的信息

%description 软件的详细说明

spec脚本主体

spec脚本的主体中也包括了很多关键字和描述，下面会一一列举。我会把一些特别需要留意的地方标注出来。

%prep 预处理脚本

%setup -n %{name}-%{version} 把源码包解压并放好

通常是从SOURCES里的包解压到 /BUILD/%{name}-%{version}中。

一般用%setup -c就可以了，但有两种情况：一就是同时编译多个源码包，二就是源码的tar包的名称与解压出来的目录不一致，此时，就需要使用-n参数指定一下了。

%patch 打补丁

通常补丁都会一起在源码tar.gz包中，或放到SOURCES目录下。一般参数为：

%patch -p1 使用前面定义的Patch补丁进行，-p1是忽略patch的第一层目录

%Patch2 -p1 -b xxx.patch 打上指定的补丁，-b是指生成备份文件

引用

%setup 不加任何选项，仅将软件包打开。

%setup -n newdir 将软件包解压在newdir目录。

%setup -c 解压缩之前先产生目录。

%setup -b num 将第num个source文件解压缩。

%setup -T 不使用default的解压缩操作。

%setup -T -b 0 将第0个源代码文件解压缩。

%setup -c -n newdir 指定目录名称newdir，并在此目录产生rpm套件。

%patch 最简单的补丁方式，自动指定patch level。

%patch 0 使用第0个补丁文件，相当于%patch ?p 0。

%patch -s 不显示打补丁时的信息。

%patch -T 将所有打补丁时产生的输出文件删除。

%configure 这个不是关键字，而是rpm定义的标准宏命令。意思是执行源代码的configure配置

在BUILD/%{name}-%{version}目录中进行，使用标准写法，会引用/usr/lib/rpm/marcros中定义的参数。

另一种不标准的写法是，可参考源码中的参数自定义，例如：

引用

CFLAGS="$RPM_OPT_FLAGS" CXXFLAGS="$RPM_OPT_FLAGS" ./configure --prefix=%{_prefix}

%build 开始构建包

在BUILD/%{name}-%{version}目录中进行make的工作，常见写法：

引用

make %{?_smp_mflags} OPTIMIZE="%{optflags}"

都是一些优化参数，定义在/usr/lib/rpm/marcros中

%install 开始把软件安装到虚拟的根目录中

在BUILD/%{name}-%{version}目录中进行make install的操作。这个很重要，因为如果这里的路径不对的话，则下面%file中寻找文件的时候就会失败。常见内容有：

%makeinstall 这不是关键字，而是rpm定义的标准宏命令。也可以使用非标准写法：引用make DESTDIR=$RPM_BUILD_ROOT install

或引用make prefix=$RPM_BUILD_ROOT install

需要说明的是，这里的%install主要就是为了后面的%file服务的。所以，还可以使用常规的系统命令：

引用

install -d $RPM_BUILD_ROOT/

cp -a * $RPM_BUILD_ROOT/

%clean 清理临时文件

通常内容为：

引用 [ "$RPM_BUILD_ROOT" != "/" ] && rm -rf "$RPM_BUILD_ROOT"

rm -rf $RPM_BUILD_DIR/%{name}-%{version}

注意区分$RPM_BUILD_ROOT和$RPM_BUILD_DIR：

$RPM_BUILD_ROOT是指开头定义的BuildRoot，而$RPM_BUILD_DIR通常就是指/usr/src/asianux/BUILD，其中，前面的才是%file需要的。

%pre rpm安装前执行的脚本

%post rpm安装后执行的脚本

%preun rpm卸载前执行的脚本

%postun rpm卸载后执行的脚本

%preun %postun 的区别是什么呢？

前者在升级的时候会执行，后者在升级rpm包的时候不会执行

%files 定义那些文件或目录会放入rpm中

这里会在虚拟根目录下进行，千万不要写绝对路径，而应用宏或变量表示相对路径。如果描述为目录，表示目录中除%exclude外的所有文件。

%defattr (-,root,root) 指定包装文件的属性，分别是(mode,owner,group)，-表示默认值，对文本文件是0644，可执行文件是0755

%exclude 列出不想打包到rpm中的文件。如果%exclude指定的文件不存在，也会出错的。

%changelog 变更日志（注意时间格式）

查看marcros宏：

[root@localhost ~]# cat /etc/rpm/macros.dist
# dist macros.
%rhel 7
%dist .el7.Selinuxplus.com #发行标记
%el7 1

[root@localhost ~]# cat /etc/rpm/macros.dist

# dist macros.

%rhel 7

%dist .el7.Selinuxplus.com #发行标记

%el7 1

2.4 工程调试

工程调试运行时，可以在用户指定的环境目录下执行，如只需要构建src rpm包：

rpmbuild --nodeps --define "%_topdir `pwd`" -bs SPECS/xxxx.spec 
or rpmbuild  -bs *.spec 文件

1 2	rpmbuild --nodeps --define "%_topdir `pwd`" -bs SPECS/xxxx.spec or rpmbuild -bs *.spec 文件

如果需要构建rpm的二进制代码和源码

rpmbuild --nodeps --define "%_topdir `pwd`" -ba SPECS/xxxx.spec
or rpmbuild -ba *.spec 文件

1 2	rpmbuild --nodeps --define "%_topdir `pwd`" -ba SPECS/xxxx.spec or rpmbuild -ba *.spec 文件

2.5 其他事项

1、rpm包构建不建议在root环境下构建。
2、注意构建所需要的依赖关系

Yum install $(grep ^BuildRequires:  *.spec|awk '{print $2}')

1	Yum install $(grep ^BuildRequires: *.spec\|awk '{print $2}')

3、注意rpm编译过程的错误，前期主要是依赖关系，后期过程可能是一些测试错误，注意分析错误问题，让编译进行下去。

2.6 其他

描述项目研制过程中将采用的其他方面的内容。

系统管理

Volume,LABEL MARK一下，/dev/root

2014 年 10 月 17 日 admin 发表回复

vfat、fat32的Volume Name 最长为11 length，包含空格
ext2、ext3、ext4的Volume Name 最长为16 length，包含空格

El7 按照inst.stage2=hd:LABEL的方式。
当系统报错could not boot, /dev/root not exist的错误的时候，检测/dev/disk/by-label的标签名是否正确。

云安全、渗透测试、系统安全、系统管理

由bash：cve-2014-6271 学习execve 2

2014 年 10 月 17 日 admin 发表回复

关于bash的测试方法如下：

root@localhost execve]# env x='() { :;}; echo valunerable' bash -c "echo this is a test"
valunerable
this is a test

root@localhost execve]# env x='() { :;}; echo valunerable' bash -c "echo this is a test"

valunerable

this is a test

我们使用ltrace 跟踪一下

strcpy(0x1260c10, ":")                           = 0x1260c10
malloc(16)                                       = 0x1260c30
free(0x1260a10)                                  = <void>
free(0x12609f0)                                  = <void>
free(0x1260a70)                                  = <void>
strcmp("execute-command", "execute-command")     = 0
free(0x1260a40)                                  = <void>
strlen("%s%s")                                   = 4
malloc(64)                                       = 0x1260c50
strlen("echo")                                   = 4
memcpy(0x1260c50, "echo", 4)                     = 0x1260c50
strlen(" ")                                      = 1
memcpy(0x1260c54, " ", 1)                        = 0x1260c54
strlen("%s%s")                                   = 4
strlen("valunerable")                            = 11
memcpy(0x1260c55, "valunerable", 11)             = 0x1260c55
strlen("")                                       = 0
strlen("echo valunerable")                       = 16
malloc(17)                                       = 0x12609f0
strcpy(0x12609f0, "echo valunerable")            = 0x12609f0
malloc(16)                                       = 0x1260ca0
strlen("echo")                                   = 4
malloc(5)                                        = 0x1260cc0
strcpy(0x1260cc0, "echo")                        = 0x1260cc0
malloc(16)                                       = 0x1260ce0
malloc(16)                                       = 0x1260d00
strlen("valunerable")                            = 11
malloc(12)                                       = 0x1260d20
strcpy(0x1260d20, "valunerable")                 = 0x1260d20
malloc(16)                                       = 0x1260d40
__ctype_get_mb_cur_max()                         = 6
strlen("echo")

strcpy(0x1260c10, ":") = 0x1260c10

malloc(16) = 0x1260c30

free(0x1260a10) = <void>

free(0x12609f0) = <void>

free(0x1260a70) = <void>

strcmp("execute-command", "execute-command") = 0

free(0x1260a40) = <void>

strlen("%s%s") = 4

malloc(64) = 0x1260c50

strlen("echo") = 4

memcpy(0x1260c50, "echo", 4) = 0x1260c50

strlen(" ") = 1

memcpy(0x1260c54, " ", 1) = 0x1260c54

strlen("%s%s") = 4

strlen("valunerable") = 11

memcpy(0x1260c55, "valunerable", 11) = 0x1260c55

strlen("") = 0

strlen("echo valunerable") = 16

malloc(17) = 0x12609f0

strcpy(0x12609f0, "echo valunerable") = 0x12609f0

malloc(16) = 0x1260ca0

strlen("echo") = 4

malloc(5) = 0x1260cc0

strcpy(0x1260cc0, "echo") = 0x1260cc0

malloc(16) = 0x1260ce0

malloc(16) = 0x1260d00

strlen("valunerable") = 11

malloc(12) = 0x1260d20

strcpy(0x1260d20, "valunerable") = 0x1260d20

malloc(16) = 0x1260d40

__ctype_get_mb_cur_max() = 6

strlen("echo")

看一下问题发生的的原因：

[root@localhost bash-4.2]# vim builtins/evalstring.c 
int
parse_and_execute (string, from_file, flags)
     char *string;
     const char *from_file;
     int flags;
{
...

 if (parse_command () == 0)
        {
          if ((flags & SEVAL_PARSEONLY) || (interactive_shell == 0 && read_but_dont_execute))
              此语句没有做函数边界判断
            {
              last_result = EXECUTION_SUCCESS;
              dispose_command (global_command);
              global_command = (COMMAND *)NULL;
            }
          else if (command = global_command)
            {
             //此语句如果执行，传入的函数则会被当作全局变量，然后全局变量后的代码则会执行成功
              struct fd_bitmap *bitmap;

              bitmap = new_fd_bitmap (FD_BITMAP_SIZE);
              begin_unwind_frame ("pe_dispose");
              add_unwind_protect (dispose_fd_bitmap, bitmap);
              add_unwind_protect (dispose_command, command);    /* XXX */

              global_command = (COMMAND *)NULL;

              if ((subshell_environment & SUBSHELL_COMSUB) && comsub_ignore_return)
                command->flags |= CMD_IGNORE_RETURN;

void
initialize_shell_variables (env, privmode)
     char **env;
    create_variable_tables ();
  从ENV环境变量中获取参数
  for (string_index = 0; string = env[string_index++]; )
    {
      char_index = 0;
      name = string;
      while ((c = *string++) && c != '=')
        ;
      if (string[-1] == '=')
        char_index = string - name - 1;

      /* If there are weird things in the environment, like `=xxx' or a
         string without an `=', just skip them. */
      if (char_index == 0)
        continue;

      /* ASSERT(name[char_index] == '=') */
      name[char_index] = '\0';
      /* Now, name = env variable name, string = env variable value, and
         char_index == strlen (name) */

      temp_var = (SHELL_VAR *)NULL;

      /* If exported function, define it now.  Don't import functions from
         the environment in privileged mode. */
      if (privmode == 0 && read_but_dont_execute == 0 && STREQN ("() {", string, 4))
        bash函数的处理：
        {
          string_length = strlen (string);
          temp_string = (char *)xmalloc (3 + string_length + char_index);

          strcpy (temp_string, name);
          temp_string[char_index] = ' ';
          strcpy (temp_string + char_index + 1, string);
          这里调用了parse_and_execute ，再调用之前没有对temp_string 的边界进行检查
          parse_and_execute (temp_string, name, SEVAL_NONINT|SEVAL_NOHIST);

          /* Ancient backwards compatibility.  Old versions of bash exported
             functions like name()=() {...} */
          if (name[char_index - 1] == ')' && name[char_index - 2] == '(')
            name[char_index - 2] = '\0';

          if (temp_var = find_function (name))
            {
              VSETATTR (temp_var, (att_exported|att_imported));
              array_needs_making = 1;
            }
           else
            report_error (_("error importing function definition for `%s'"), name);

          /* ( */
          if (name[char_index - 1] == ')' && name[char_index - 2] == '\0')
            name[char_index - 2] = '(';         /* ) */
        }

[root@localhost bash-4.2]# vim builtins/evalstring.c

int

parse_and_execute (string, from_file, flags)

char *string;

const char *from_file;

int flags;

{

...

if (parse_command () == 0)

{

if ((flags & SEVAL_PARSEONLY) || (interactive_shell == 0 && read_but_dont_execute))

此语句没有做函数边界判断

{

last_result = EXECUTION_SUCCESS;

dispose_command (global_command);

global_command = (COMMAND *)NULL;

}

else if (command = global_command)

{

//此语句如果执行，传入的函数则会被当作全局变量，然后全局变量后的代码则会执行成功

struct fd_bitmap *bitmap;

bitmap = new_fd_bitmap (FD_BITMAP_SIZE);

begin_unwind_frame ("pe_dispose");

add_unwind_protect (dispose_fd_bitmap, bitmap);

add_unwind_protect (dispose_command, command); /* XXX */

global_command = (COMMAND *)NULL;

if ((subshell_environment & SUBSHELL_COMSUB) && comsub_ignore_return)

command->flags |= CMD_IGNORE_RETURN;

void

initialize_shell_variables (env, privmode)

char **env;

create_variable_tables ();

从ENV环境变量中获取参数

for (string_index = 0; string = env[string_index++]; )

{

char_index = 0;

name = string;

while ((c = *string++) && c != '=')

;

if (string[-1] == '=')

char_index = string - name - 1;

/* If there are weird things in the environment, like `=xxx' or a

string without an `=', just skip them. */

if (char_index == 0)

continue;

/* ASSERT(name[char_index] == '=') */

name[char_index] = '\0';

/* Now, name = env variable name, string = env variable value, and

char_index == strlen (name) */

temp_var = (SHELL_VAR *)NULL;

/* If exported function, define it now. Don't import functions from

the environment in privileged mode. */

if (privmode == 0 && read_but_dont_execute == 0 && STREQN ("() {", string, 4))

bash函数的处理：

{

string_length = strlen (string);

temp_string = (char *)xmalloc (3 + string_length + char_index);

strcpy (temp_string, name);

temp_string[char_index] = ' ';

strcpy (temp_string + char_index + 1, string);

这里调用了parse_and_execute ，再调用之前没有对temp_string 的边界进行检查

parse_and_execute (temp_string, name, SEVAL_NONINT|SEVAL_NOHIST);

/* Ancient backwards compatibility. Old versions of bash exported

functions like name()=() {...} */

if (name[char_index - 1] == ')' && name[char_index - 2] == '(')

name[char_index - 2] = '\0';

if (temp_var = find_function (name))

{

VSETATTR (temp_var, (att_exported|att_imported));

array_needs_making = 1;

}

else

report_error (_("error importing function definition for `%s'"), name);

/* ( */

if (name[char_index - 1] == ')' && name[char_index - 2] == '\0')

name[char_index - 2] = '('; /* ) */

}

官方提供的第一次patch

cat  bash-requires.patch 
diff -up bash-4.1/execute_cmd.c.requires bash-4.1/execute_cmd.c
--- bash-4.1/execute_cmd.c.requires	2010-08-02 17:42:41.000000000 +0200
+++ bash-4.1/execute_cmd.c	2010-08-02 17:42:41.000000000 +0200
@@ -503,6 +503,8 @@ async_redirect_stdin ()
 
 #define DESCRIBE_PID(pid) do { if (interactive) describe_pid (pid); } while (0)
 
+extern int rpm_requires;
+
 /* Execute the command passed in COMMAND, perhaps doing it asynchrounously.
    COMMAND is exactly what read_command () places into GLOBAL_COMMAND.
    ASYNCHROUNOUS, if non-zero, says to do this command in the background.
@@ -534,7 +536,13 @@ execute_command_internal (command, async
 #else
   if (breaking || continuing)
     return (last_command_exit_value);
-  if (command == 0 || read_but_dont_execute)
+  if (command == 0 || (read_but_dont_execute && !rpm_requires))
+    return (EXECUTION_SUCCESS);
+  if (rpm_requires && command->type == cm_function_def)//加入判断类型
+    return last_command_exit_value =
+      execute_intern_function (command->value.Function_def->name,
+                              command->value.Function_def->command);
+  if (read_but_dont_execute)
     return (EXECUTION_SUCCESS);
 #endif

cat bash-requires.patch

diff -up bash-4.1/execute_cmd.c.requires bash-4.1/execute_cmd.c

--- bash-4.1/execute_cmd.c.requires 2010-08-02 17:42:41.000000000 +0200

+++ bash-4.1/execute_cmd.c 2010-08-02 17:42:41.000000000 +0200

@@ -503,6 +503,8 @@ async_redirect_stdin ()

#define DESCRIBE_PID(pid) do { if (interactive) describe_pid (pid); } while (0)

+extern int rpm_requires;

/* Execute the command passed in COMMAND, perhaps doing it asynchrounously.

COMMAND is exactly what read_command () places into GLOBAL_COMMAND.

ASYNCHROUNOUS, if non-zero, says to do this command in the background.

@@ -534,7 +536,13 @@ execute_command_internal (command, async

#else

if (breaking || continuing)

return (last_command_exit_value);

- if (command == 0 || read_but_dont_execute)

+ if (command == 0 || (read_but_dont_execute && !rpm_requires))

+ return (EXECUTION_SUCCESS);

+ if (rpm_requires && command->type == cm_function_def)//加入判断类型

+ return last_command_exit_value =

+ execute_intern_function (command->value.Function_def->name,

+ command->value.Function_def->command);

+ if (read_but_dont_execute)

return (EXECUTION_SUCCESS);

#endif

但产生了一个新的问题：

[root@localhost ~]# env X='() { (x)=>\' bash -c "my echo valunerable"
bash: X: line 1: syntax error near unexpected token `='
bash: X: line 1: `'
bash: error importing function definition for `X'
[root@localhost ~]# cat my 
valunerable

[root@localhost ~]# env X='() { (x)=>\' bash -c "my echo valunerable"

bash: X: line 1: syntax error near unexpected token `='

bash: X: line 1: `'

bash: error importing function definition for `X'

[root@localhost ~]# cat my

valunerable

由于函数体满足() { ，也没有发现”;”,bash在eval的时候遇到语法问题(x)=被忽略了，就执行>/my echo valunerable

第二次提供了

     /* If exported function, define it now.  Don't import functions from
 	 the environment in privileged mode. */
-      if (privmode == 0 && read_but_dont_execute == 0 && STREQN ("() {", string, 4))
-	{
-	  string_length = strlen (string);
-	  temp_string = (char *)xmalloc (3 + string_length + char_index);
+      if (privmode == 0 && read_but_dont_execute == 0
+	  && STREQN (FUNCDEF_PREFIX, name, FUNCDEF_PREFIX_LEN)
+	  && STREQ (name + char_index - FUNCDEF_SUFFIX_LEN, FUNCDEF_SUFFIX)
+	  && STREQN ("() {", string, 4)) //增加了函数边界判断
+	{
+	  size_t name_length
+	    = char_index - (FUNCDEF_PREFIX_LEN + FUNCDEF_SUFFIX_LEN);
+	  char *temp_name = name + FUNCDEF_PREFIX_LEN;
+	  /* Temporarily remove the suffix. */
+	  temp_name[name_length] = '\0';
 
-	  strcpy (temp_string, name);
-	  temp_string[char_index] = ' ';
-	  strcpy (temp_string + char_index + 1, string);
+	  string_length = strlen (string);
+	  temp_string = (char *)xmalloc (name_length + 1 + string_length + 1);
+	  memcpy (temp_string, temp_name, name_length);
+	  temp_string[name_length] = ' ';
+	  memcpy (temp_string + name_length + 1, string, string_length + 1);
 
 	  /* Don't import function names that are invalid identifiers from the
 	     environment, though we still allow them to be defined as shell
	     variables. */
-	  if (legal_identifier (name))
-	    parse_and_execute (temp_string, name, SEVAL_NONINT|SEVAL_NOHIST|SEVAL_FUNCDEF|SEVAL_ONECMD);
+	  if (legal_identifier (temp_name))
+	    parse_and_execute (temp_string, temp_name,
+			       SEVAL_NONINT|SEVAL_NOHIST|SEVAL_FUNCDEF|SEVAL_ONECMD);
 
-	  if (temp_var = find_function (name))
+	  if (temp_var = find_function (temp_name))
 	    {
 	      VSETATTR (temp_var, (att_exported|att_imported));
 	      array_needs_making = 1;
 	    }
 	  else
 	    report_error (_("error importing function definition for `%s'"), name);
+
+	  /* Restore the original suffix. */
+	  temp_name[name_length] = FUNCDEF_SUFFIX[0];
 	}
 #if defined (ARRAY_VARS)
 #  if 0
@@ -2537,7 +2557,7 @@
   var->context = variable_context;	/* XXX */
 
   INVALIDATE_EXPORTSTR (var);
-  var->exportstr = mk_env_string (name, value);
+  var->exportstr = mk_env_string (name, value, 0);
 
   array_needs_making = 1;
 
@@ -3388,22 +3408,43 @@
 /*								    */
 /* **************************************************************** */
 
+/* Returns the string NAME=VALUE if !FUNCTIONP or if VALUE == NULL (in
+   which case it is treated as empty).  Otherwise, decorate NAME with
+   FUNCDEF_PREFIX and FUNCDEF_SUFFIX, and return a string of the form
+   FUNCDEF_PREFIX NAME FUNCDEF_SUFFIX = VALUE (without spaces).  */
//增加了对函数的判断
 static inline char *
-mk_env_string (name, value)
+mk_env_string (name, value, functionp)
      const char *name, *value;
+     int functionp;
 {
-  int name_len, value_len;
-  char	*p;
+  size_t name_len, value_len;
+  char *p, *q;
 
   name_len = strlen (name);
   value_len = STRLEN (value);
-  p = (char *)xmalloc (2 + name_len + value_len);
-  strcpy (p, name);
-  p[name_len] = '=';
+  if (functionp && value != NULL)
+    {
+      p = (char *)xmalloc (FUNCDEF_PREFIX_LEN + name_len + FUNCDEF_SUFFIX_LEN
+			   + 1 + value_len + 1);
+      q = p;
+      memcpy (q, FUNCDEF_PREFIX, FUNCDEF_PREFIX_LEN);
+      q += FUNCDEF_PREFIX_LEN;
+      memcpy (q, name, name_len);
+      q += name_len;
+      memcpy (q, FUNCDEF_SUFFIX, FUNCDEF_SUFFIX_LEN);
+      q += FUNCDEF_SUFFIX_LEN;
+    }
+  else
+    {
+      p = (char *)xmalloc (name_len + 1 + value_len + 1);
+      memcpy (p, name, name_len);
+      q = p + name_len;
+    }
+  q[0] = '=';
   if (value && *value)
-    strcpy (p + name_len + 1, value);
+    memcpy (q + 1, value, value_len + 1);
   else
-    p[name_len + 1] = '\0';
+    q[1] = '\0';
   return (p);
 }

100

101

102

103

104

105

106

107

108

109

110

/* If exported function, define it now. Don't import functions from

the environment in privileged mode. */

- if (privmode == 0 && read_but_dont_execute == 0 && STREQN ("() {", string, 4))

- {

- string_length = strlen (string);

- temp_string = (char *)xmalloc (3 + string_length + char_index);

+ if (privmode == 0 && read_but_dont_execute == 0

+ && STREQN (FUNCDEF_PREFIX, name, FUNCDEF_PREFIX_LEN)

+ && STREQ (name + char_index - FUNCDEF_SUFFIX_LEN, FUNCDEF_SUFFIX)

+ && STREQN ("() {", string, 4)) //增加了函数边界判断

+ {

+ size_t name_length

+ = char_index - (FUNCDEF_PREFIX_LEN + FUNCDEF_SUFFIX_LEN);

+ char *temp_name = name + FUNCDEF_PREFIX_LEN;

+ /* Temporarily remove the suffix. */

+ temp_name[name_length] = '\0';

- strcpy (temp_string, name);

- temp_string[char_index] = ' ';

- strcpy (temp_string + char_index + 1, string);

+ string_length = strlen (string);

+ temp_string = (char *)xmalloc (name_length + 1 + string_length + 1);

+ memcpy (temp_string, temp_name, name_length);

+ temp_string[name_length] = ' ';

+ memcpy (temp_string + name_length + 1, string, string_length + 1);

/* Don't import function names that are invalid identifiers from the

environment, though we still allow them to be defined as shell

variables. */

- if (legal_identifier (name))

- parse_and_execute (temp_string, name, SEVAL_NONINT|SEVAL_NOHIST|SEVAL_FUNCDEF|SEVAL_ONECMD);

+ if (legal_identifier (temp_name))

+ parse_and_execute (temp_string, temp_name,

+ SEVAL_NONINT|SEVAL_NOHIST|SEVAL_FUNCDEF|SEVAL_ONECMD);

- if (temp_var = find_function (name))

+ if (temp_var = find_function (temp_name))

{

VSETATTR (temp_var, (att_exported|att_imported));

array_needs_making = 1;

}

else

report_error (_("error importing function definition for `%s'"), name);

+ /* Restore the original suffix. */

+ temp_name[name_length] = FUNCDEF_SUFFIX[0];

}

#if defined (ARRAY_VARS)

# if 0

@@ -2537,7 +2557,7 @@

var->context = variable_context; /* XXX */

INVALIDATE_EXPORTSTR (var);

- var->exportstr = mk_env_string (name, value);

+ var->exportstr = mk_env_string (name, value, 0);

array_needs_making = 1;

@@ -3388,22 +3408,43 @@

/* */

/* **************************************************************** */

+/* Returns the string NAME=VALUE if !FUNCTIONP or if VALUE == NULL (in

+ which case it is treated as empty). Otherwise, decorate NAME with

+ FUNCDEF_PREFIX and FUNCDEF_SUFFIX, and return a string of the form

+ FUNCDEF_PREFIX NAME FUNCDEF_SUFFIX = VALUE (without spaces). */

//增加了对函数的判断

static inline char *

-mk_env_string (name, value)

+mk_env_string (name, value, functionp)

const char *name, *value;

+ int functionp;

{

- int name_len, value_len;

- char *p;

+ size_t name_len, value_len;

+ char *p, *q;

name_len = strlen (name);

value_len = STRLEN (value);

- p = (char *)xmalloc (2 + name_len + value_len);

- strcpy (p, name);

- p[name_len] = '=';

+ if (functionp && value != NULL)

+ {

+ p = (char *)xmalloc (FUNCDEF_PREFIX_LEN + name_len + FUNCDEF_SUFFIX_LEN

+ + 1 + value_len + 1);

+ q = p;

+ memcpy (q, FUNCDEF_PREFIX, FUNCDEF_PREFIX_LEN);

+ q += FUNCDEF_PREFIX_LEN;

+ memcpy (q, name, name_len);

+ q += name_len;

+ memcpy (q, FUNCDEF_SUFFIX, FUNCDEF_SUFFIX_LEN);

+ q += FUNCDEF_SUFFIX_LEN;

+ }

+ else

+ {

+ p = (char *)xmalloc (name_len + 1 + value_len + 1);

+ memcpy (p, name, name_len);

+ q = p + name_len;

+ }

+ q[0] = '=';

if (value && *value)

- strcpy (p + name_len + 1, value);

+ memcpy (q + 1, value, value_len + 1);

else

- p[name_len + 1] = '\0';

+ q[1] = '\0';

return (p);

}

SELinux+

月度归档：2014年10月

wget漏洞影响el7,CVE-2014-4877

USB install linux，关于ks文件路径的问题(EL7)

Linux 系统管理(EL7)-RPM(rpmbuild)篇

1 概述

1.1 功能介绍

1.2 工程依赖

2 环境搭建

2.1环境要求

2.2 环境搭建

2.3 配置文件

2.4 工程调试

2.5 其他事项

2.6 其他

Volume,LABEL MARK一下，/dev/root

由bash：cve-2014-6271 学习execve 2

基础分享安全

2014年十月
一	二	三	四	五	六	日
« 九				十一 »
		1	2	3	4	5
6	7	8	9	10	11	12
13	14	15	16	17	18	19
20	21	22	23	24	25	26
27	28	29	30	31

1 概述

1.1 功能介绍

1.2 工程依赖

2 环境搭建

2.1环境要求

2.2 环境搭建

2.3 配置文件

2.4 工程调试

2.5 其他事项

2.6 其他

基础 分享 安全

基础分享安全