2

我正在尝试在 Linux 命令行上更方便地使用相同的密码安装多个 Veracrypt 卷。由于 Veracrypt 仅支持 GUI 模式下的密码缓存,因此我编写了以下代码来为我完成这项工作:

#include<stdio.h>
#include<stdlib.h>
#include<string.h>
#include<unistd.h>
#include<time.h>

int main(int argc, char* argv[]){
if(argc > 1 && argc%2==1){
    srand(time(0));

    //prevent veracrypt from asking for user's passphrase
    system("sudo echo -n");

    char *buffer = getpass("Veracrypt Password:");

    for(int i = 1; i<argc; i+=2){
        char* cc;
        cc = (char *) malloc(57+strlen(argv[i])+1+strlen(argv[i+1]));
        strcpy(cc, "veracrypt -t --protect-hidden=no --keyfiles=\"\" --pim=123 ");
        strcat(cc, argv[i]);
        strcat(cc, " ");
        strcat(cc, argv[i+1]);

        FILE* fChild = popen(cc, "w");
        fprintf(fChild, "%s", buffer);
        pclose(fChild);

        free(cc);
    }
    for(int i = 0; i<strlen(buffer); i++)
    buffer[i] = rand();
}
return 0;
}

该代码有效,但我想知道执行后密码是否从内存中正确删除。如上面的代码所示,密码短语在开始时被读入 char-array缓冲区,最后被随机值替换。

我的两个问题是:

  • 这种方法是个好主意吗?(安全方面)

  • popen() 如何将缓冲区的值通过管道传输到 veracrypt?/缓冲区是直接从其位置读取还是被复制并因此可以保留在内存中的某个位置?

4

1 回答 1

4

该方法还可以,并且与在 shell 中传输密码一样安全<<<"myPassword" veracrypt

  1. ps输出中没有密码。
  2. 密码仅存储在临时缓冲区中。
  3. 我认为,如果攻击者对您的应用程序/源代码有足够的了解,它仍然可以使用一些侧通道攻击来获取密码。

您的代码根本不安全。

  1. 你不检查 malloc 的返回值
  2. 你不检查 popen 的返回值
  3. 你不检查 getpass 的返回值
  4. 您溢出了分配的内存cc。您没有为终止空字符分配位置。您可以使用asnprintf并让 GNU 库为您完成这项工作。
  5. 因为您没有正确通过argv[i]并且argv[i+1]使用您的程序攻击任何 PC 非常简单,只需 ex.: ./your_program "; sudo rm -rf <some_file>" "; echo I can run any shell script here"

这种方法是个好主意吗?(安全方面)

方法是好的,你如何接近它是不对的。您的程序泄漏内存并且不检查任何返回值并且无法控制传递给 的字符串popen,这是不安全的。使用system(sudo echo -n)也是不安全的。至于方法,最好在最后一次使用后将缓冲区归零memset(buffer, 0, strlen(buffer) + 1)(可能多次,如 5 次),然后free(buffer).

鉴于 Meltdown 和 Spectre 等最近的攻击,较新的 ssh 版本在从用户那里收到密码后立即使用长密钥(我认为是 RSA,不确定)加密密码,并在每次使用时解密。密钥足够长,以使使用此类方法的攻击不太可能或太长。我认为不需要简单的小型应用程序来实现这种方法。来源

popen() 如何将缓冲区的值通过管道传输到 veracrypt?

因为您使用fprintf,所以缓冲区被复制到内部FILE*缓冲区中,然后在换行符上刷新。默认情况下FILE*,流在换行符上被缓冲和刷新。您可以使用 指定行为setvbuf,但是,我认为这根本不安全,因为密码将在FILE*缓冲区中保留一段时间。然后fprintf调用将内部缓冲区的内容在换行符上写入带有指针FILE*的关联管道文件描述符。FILE*然后内核将数据从管道的输入传递到命令的标准输入。更安全一点的方法(因为你根本不需要printf实用程序,你只是"%s"......),可能是使用setvbuf(fChild, NULL, _IONBF, 0)然后使用fwrite(buffer, strlen(buffer), 1, fChild).

一种正确的方法是删除FILE*并使用正确的pipe()++fork()并将exec()密码直接流式传输到带有write()调用的管道中,因此您不使用FILE*内部缓冲。fork()还将允许您发送信号并处理孩子的返回值。

缓冲区是直接从其位置读取还是被复制并因此可以保留在内存中的某个位置?

是的,是的,是的。它是直接从它在fprintf调用中的位置读取的。它被复制到内部FILE*缓冲区。因此它可以保留在内存中的某个地方。

于 2019-06-30T09:17:44.833 回答