背景

Question 1

是的，挂载命名空间是一种方法：

$ cat file
foo
$ cat other-file
bar
$ sudo unshare -m zsh -c 'mount --bind other-file file; USERNAME=$SUDO_USER; cat file'
bar
$ cat file
foo

以上用于zsh恢复被劫持的 cat 命令的原始用户的 uid/gids。

Answer

是的，挂载命名空间是一种方法：

$ cat file
foo
$ cat other-file
bar
$ sudo unshare -m zsh -c 'mount --bind other-file file; USERNAME=$SUDO_USER; cat file'
bar
$ cat file
foo

以上用于zsh恢复被劫持的 cat 命令的原始用户的 uid/gids。

Question 2

这是一种方法预加载通过一小段代码在程序和系统库之间插入一些代码。这假设该程序是动态链接的二进制文件，或者是由动态链接的二进制文件执行的脚本（即它不是静态链接的）。将以下代码写入文件override_fopen.c：

#include <dlfcn.h>
#include <fcntl.h>
#include <stdarg.h>
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <sys/stat.h>
#include <sys/types.h>
#include <unistd.h>
#ifndef FROM
#error "Define FROM to the path to override in double quotes, e.g. -DFROM='\"/bad\"'"
#endif
#ifndef TO
#error "Define TO to the path to use instead in double quotes, e.g. -DFROM='\"/good\"'"
#endif
FILE *fopen(const char *path, const char *mode) {
    void *(*original_fopen)(const char *, const char *) = dlsym(RTLD_NEXT, "fopen");
    if (!strcmp(path, FROM)) {
        path = TO;
    }
    return original_fopen(path, mode);
}
int open(const char *path, int oflag, ...) {
    int (*original_open)(const char *, int, ...) = dlsym(RTLD_NEXT, "open");
    int ret;
    va_list args;
    if (!strcmp(path, FROM)) {
        path = TO;
    }
    va_start(args, oflag);
    if (oflag & O_CREAT) {
        ret = original_open(path, oflag, (mode_t)va_arg(args, mode_t));
    } else {
        ret = original_open(path, oflag);
    }
    va_end(args);
    return ret;
}

使用以下命令进行编译（适用于 Linux，其他 Unix 变体可能需要不同的选项）。请注意要覆盖的路径周围的引号。

gcc -DFROM='"/path/to/file"' -DTO='"/path/to/alternate/content"' -D_GNU_SOURCE -O -Wall -fPIC -shared -o override_fopen.so override_fopen.c -ldl

按如下方式运行程序（在 OSX 上，使用DYLD_PRELOAD代替LD_PRELOAD）：

LD_PRELOAD=./override_fopen.so ./myexe

仅当程序调用fopen或open库函数时，此方法才有效。如果它调用其他函数，您需要覆盖该函数。您可以使用ltrace查看程序调用了哪些库。

Answer

这是一种方法预加载通过一小段代码在程序和系统库之间插入一些代码。这假设该程序是动态链接的二进制文件，或者是由动态链接的二进制文件执行的脚本（即它不是静态链接的）。将以下代码写入文件override_fopen.c：

#include <dlfcn.h>
#include <fcntl.h>
#include <stdarg.h>
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <sys/stat.h>
#include <sys/types.h>
#include <unistd.h>
#ifndef FROM
#error "Define FROM to the path to override in double quotes, e.g. -DFROM='\"/bad\"'"
#endif
#ifndef TO
#error "Define TO to the path to use instead in double quotes, e.g. -DFROM='\"/good\"'"
#endif
FILE *fopen(const char *path, const char *mode) {
    void *(*original_fopen)(const char *, const char *) = dlsym(RTLD_NEXT, "fopen");
    if (!strcmp(path, FROM)) {
        path = TO;
    }
    return original_fopen(path, mode);
}
int open(const char *path, int oflag, ...) {
    int (*original_open)(const char *, int, ...) = dlsym(RTLD_NEXT, "open");
    int ret;
    va_list args;
    if (!strcmp(path, FROM)) {
        path = TO;
    }
    va_start(args, oflag);
    if (oflag & O_CREAT) {
        ret = original_open(path, oflag, (mode_t)va_arg(args, mode_t));
    } else {
        ret = original_open(path, oflag);
    }
    va_end(args);
    return ret;
}

使用以下命令进行编译（适用于 Linux，其他 Unix 变体可能需要不同的选项）。请注意要覆盖的路径周围的引号。

gcc -DFROM='"/path/to/file"' -DTO='"/path/to/alternate/content"' -D_GNU_SOURCE -O -Wall -fPIC -shared -o override_fopen.so override_fopen.c -ldl

按如下方式运行程序（在 OSX 上，使用DYLD_PRELOAD代替LD_PRELOAD）：

LD_PRELOAD=./override_fopen.so ./myexe

仅当程序调用fopen或open库函数时，此方法才有效。如果它调用其他函数，您需要覆盖该函数。您可以使用ltrace查看程序调用了哪些库。

背景

背景

答案1

答案2

相关内容