无意中遇到了这个环境变量,发现很有意思
LD_PRELOAD的本意是,允许程序优先加载指定的动态库。这样能够选择不同的动态库中的相同的函数或者变量。 使用场景是:当使用别人提供的动态库,发现其中某些函数实现不合理。但不能要求别人为你修改源代码并重新生成动态库。在这种情况下,使用LD_PRELOAD可以使用自定义的代码替换别人动态库中的部分代码。
这种灵活性也会带来一些负面影响,有心人可能会利用它作一些evil things。
考虑登录程序
int main(int argc,void *argv[])
{
static char* pass="password";
if(argc!=2)
printf("fail\n“);
else
{
if(!strcmp(argv,pass)
printf("ok\n");
else
printf("wrong\n");
}
}
这个程序的执行结果显而易见。
接下来建立文件strcmp.c
int strcmp(const char* s1,const char* s2)
{
printf("hacked\n");
return 0;
}
编译成动态库:gcc -shared -o libstrcmp.so strcmp.c
设置环境变量:export LD_PRELOAD=./libstrcmp.so
再次执行时,不管用户输入的密码是什么,都会返回成功。且会打印"hacked"。这说明main函数中调用的实际上时strcmp.c中strcmp函数。
由此可以看到,这个环境变量带来了很大的安全隐患,解决方法有两个:
使用静态链接
使用SETUID/SETGID,有SUID权限的程序执行加载时会忽略这个环境变量
LD_PRELOAD实际上和dlsym函数族相关。具体看dlsym的使用
void *dlsym(void *handle, const char *symbol)
handle表示dlopen的返回值或者预定义的两个值(RTLD_NEXT RTLD_DEFAULT)
symbol表示符号名称
当找到符号时返回符号地址,没有找到返回空指针。
RTLD_DEFAULT和RTLD_NEXT提供了在多个动态库中查询相同函数或者变量的方法。
当多个动态库存在相同的符号时,RTLD_DEFAULT查找的是这些动态库的第一个。并将第一个设置为当前的动态库
RTLD_NEXT查找的时当前动态库的下一个动态库。
因此,LD_PRELOAD影响的实际上就是RTLD_DEFAULT,它将指定的动态库放在查找的第一个位置。