当前位置:网站首页>隱藏程序命令列引數,例如輸入密碼等高危操作

隱藏程序命令列引數,例如輸入密碼等高危操作

2021-01-23 18:43:36 itread01

[toc]## 前言> 啟動程式很多時候用命令列引數可以很方便,做到簡化一些配置,但是輸入使用者名稱密碼等操作,如果通過程序檢視工具直接看到密碼就太不安全了。> 因此很有必要研究如何隱藏命令列引數中的某些欄位,當然做成配置檔案也是極好的,但是無疑給執行程式增加額外操作。編輯儲存配置檔案也會費點事。> 我結合網上找到的一些方案,以及自己總結一個方案,記下筆記。## 複寫argv引數> 該方案只在Linux下的C語言中驗證成功,因為window下都是win32api獲取命令列引數,但是沒有設定這個,估計window不支援這種騷操作吧。> 該方案就是在執行程式時將argv內容修改,如下原始碼,僅供參考。```c#include #include #include int main(int argc,char *argv[]) { int i,j; for (i=1;i=0;j--) { argv[i][j] = 'x'; } } getchar(); return 0;}```> 如下圖所示,命令列引數已經隱藏了。正常程式,可以將argv複製到記憶體變數,然後立即複寫argv,此時既可以正常使用命令列引數,也可以隱藏引數。![](https://img2020.cnblogs.com/blog/2135498/202101/2135498-20210123115849288-1952463546.jpg)## 獲取標準輸入> 看到C語言隱藏引數如此簡單,但是我在window下驗證C語言失敗了,執行`wmic process where caption="a.exe" get caption,commandline /value`或者命令列引數仍然能看到。![](https://img2020.cnblogs.com/blog/2135498/202101/2135498-20210123120225039-1765370530.jpg)> 因此我想到了通過讀取標準輸入來獲取程式傳遞引數,但是需要在執行程式後敲鍵盤輸入引數,不過使用echo可以完美解決該問題。> 鑑於C語言已經很久沒使用了,還是用go語言來寫例項程式吧。順便提一句go獲取命令列引數原始碼,我看了也是沒辦法修改值的,包括window和Linux。> 如下所示,使用go的flag庫獲取標準輸入的一行內容,用於解析命令列引數,原始碼如下所示:```gopackage mainimport ( "bufio" "flag" "fmt" "os" "strings" "time")func main() { fs := flag.NewFlagSet(os.Args[0], flag.ExitOnError) s := fs.String("s", "", "string") i := fs.Int("i", 123, "int") argv, _ := bufio.NewReader(os.Stdin).ReadString('\n') fs.Parse(strings.Fields(argv)) fmt.Println(*s, *i) time.Sleep(time.Minute)}```> 在Linux下測試:![](https://img2020.cnblogs.com/blog/2135498/202101/2135498-20210123120934595-1955677707.png)> 在window下測試:![](https://img2020.cnblogs.com/blog/2135498/202101/2135498-20210123121312982-1845679716.png)## 總結> 安全執行程式,隱藏命令列引數在某些場景下還是很重要的,因此研究了一下,發現也沒想象中那麼困難。> 需要注意的是,對於會記錄命令列歷史的Linux,使用echo還是不太安全的。但是也可以在執行程式後輸入命令列引數,就是麻煩些。> 總之最安全的還是做一個密碼檔案,通過讀取密碼檔案,只要別人沒有該密碼檔案就不行,或者給密碼檔案加密。> 加密和破解總是相對的,沒有絕對安全的方案,只有相對安全的

版权声明
本文为[itread01]所创,转载请带上原文链接,感谢
https://www.itread01.com/content/1611391742.html

随机推荐