Forum Linux.général GCC sous Mandrake Odyssey

Posté par . Licence CC by-sa.
Tags : aucun
1
24
fév.
2020

Hello la compagnie,

Alors voilà, je crée des scripts (en bash) pour mes clients.

Je souhaitais "masquer" certaines parties, comme par exemple des mots de passe, des @IP, etc ..
J'ai donc testé d'écrire un truc en C++ et le compiler avec GCC.
Jusque là ça fonctionne bien, je lance le fichier et ça s'exécute normal sur le PC depuis lequel j'ai compilé.
Maintenant j'ai pris ce fichier compilé et j'ai tenté de l'exécuter sur ma machine cible: là catastrophe, message d'erreur rien ne fonctionne.
J'ai testé de compiler sous 32 et 64 bit: pareil !!

Ma machine cible est un Alcatel OXE qui tourne sous Linux Mandrake release 7.2 (Odyssey) for i486

Donc bon, je me dit que je vais installer GCC sur cette machine: ça ne veut pas …
( bon y'a pas internet, c'est une machine bien isolée, j'ai tenté à la mano )

Ma question: comment puis-je faire ? Si j'installe cette distro sur une VM et que je compile avec ça devrait marcher ? enfin si je peux installer gcc …

Où existe-t-il une autre méthode pour "masquer" un bout de code source ??
A savoir que base64 n'existe pas sur cette distro et que j'aurais par la suite à gérer pas mal de machines, donc ne pas baser tout mon code sur une commande qu'il faudrait installer sur chaque bécane !

Si quelqu'un a une idée je suis preneur !

Bonne journée à tous !!

  • # GCC cache les strings ?

    Posté par (page perso) . Évalué à 3 (+1/-0).

    Hello,

    Il me semble que GCC ne "cache" pas les constantes string dans le binaire.

    Tu dois pouvoir vérifier avec ton éditeur de texte favoris ou avec la commande strings ton_binaire.

  • # Il est où le message ?

    Posté par (page perso) . Évalué à 5 (+3/-0).

    là catastrophe, message d'erreur rien ne fonctionne.

    http://www.catb.org/~esr/faqs/smart-questions.html#beprecise

    * Ils vendront Usenet^W les boites noires quand on aura fini de les remplir.

    • [^] # Re: Il est où le message ?

      Posté par . Évalué à 3 (+2/-0).

      Oui j'avoue je n'ai pas retenu le message, mais c'était à propos de l'architecture.

      • [^] # Re: Il est où le message ?

        Posté par . Évalué à 5 (+4/-0).

        Il faudrait retrouver ce message, ce ne sert à rien de chercher à l'aveugle.
        Par example si gcc compile par défaut par i586, le fait de vouloir d'utiliser l'utiliser sur un 486 va poser problème.

  • # Compilation en statique ?

    Posté par . Évalué à 6 (+4/-0).

    Un truc à tenter c'est une compilation en statique. Je verrais bien un soucis de bibliothèques dynamiques (les .so) qui ne sont pas du tout en phase. Compilé en statique, tu auras un binaire (beaucoup) plus gros, mais auto-suffisant.

    Attention aussi à la cible de compilation (tu parles d'une image i486, peut-être que ton compilateur sort des instructions optimisées i686 et plus que le processeur de la machine cible de connait pas ?)

    Mais 32 bits, i386 et statique, ça devrait être pas mal je pense.

    En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

    • [^] # Re: Compilation en statique ?

      Posté par . Évalué à 1 (+0/-0).

      Alors ça me plait bien cette idée, bien que je ne sais pas trop comment compiler en statique ^
      Je regarde ça, en tout cas merci pour la piste, et pour la taille ce n'est pas un souci, j'ai environ 300 à 400 lignes de codes avec un seul include.

      • [^] # Re: Compilation en statique ?

        Posté par . Évalué à 3 (+1/-0).

        Tu vas voir comme ça va exploser en statique : pour schématiser, tu embarques la libc dans ton exécutable (bon, pas entière). D'ailleurs regarde la taille avant et après et dis-nous, c'est toujours intéressant à savoir.

        Cherches un option du compilateur style --static

        En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

        • [^] # Re: Compilation en statique ?

          Posté par . Évalué à 1 (+0/-0). Dernière modification le 26/02/20 à 11:16.

          J'ai fait un essai pour du x86_64 (le "march=i386" ne passe pas chez moi) avec gcc 5.4.0.
          Donc pour le classique "hello world":

          #include <stdio.h>
          
          int main(int argc, char * argv[])
          {
              printf("Hello world\n");
              return 0;
          }

          Par défaut (gcc helloworld.c -o helloworld), j’obtiens 8.5K.
          En ajoutant -static, on passe à 892K.
          En ajoutant en plus -ffunction-sections -Wl,--gc-sections pour supprimer les fonctions inutilisées dans le binaire, on redescend à 856K.

          J'espère qu'il y a d'autres moyens d'optimiser la taille, parce que Turbo C ne dépassait pas la dizaine de kilooctets pour ça.

  • # Ouah!

    Posté par (page perso) . Évalué à 7 (+5/-0).

    Mandrake 7.2, j'ai utilisé ça quand j'avais 20 ans de moins! C'est sorti fin 2000, ça m'étonne pas que tes binaires récents ne trouvent pas les libs.

    Tu peux faire ldd ./binaire et recopier à la main les libs qui manquent, cela ne devrait pas faire de conflit!

    ⚓ À g'Auch TOUTE! http://afdgauch.online.fr

  • # utiliser pgp/gpg ?

    Posté par . Évalué à 3 (+2/-0). Dernière modification le 25/02/20 à 09:30.

    Salut !

    J'ai du mal à voir exactement de quoi tu essaye de te protéger, mais si c'est disons le vol de données sensibles, peut-être qu'en chiffrant le fichier contenant les données avec par exemple pgp ou gpg et en fournissant le mot de passe de déchiffrement à l'utilisateur final…

    Bien sûr, ça crée un spof, mais peut-être moins gros qu'un binaire dont on peut extraire les strings ?

    • [^] # Re: utiliser pgp/gpg ?

      Posté par . Évalué à 1 (+0/-0).

      Oui c'est ça, en fait je veux juste que les mots de passe et @IP ne soit pas en clair dans le code.
      J'attends de voir ce que ça donne quand je vais réussir à exécuter quelque chose de compilé ^

      • [^] # Re: utiliser pgp/gpg ?

        Posté par . Évalué à 3 (+1/-0).

        Oui c'est ça, en fait je veux juste que les mots de passe et @IP ne soit pas en clair dans le code.

        Il ne devrait meme pas être DANS le code, en clair ou chiffré, c'est une aberration.

        au mieux c'est un mot de passe par défaut, connu et documenté, comme celui qu'on trouve sur bon nombre d'appliance au premier démarrage.

        mais ensuite le mot de passe doit pouvoir être changé, et c'est le stockage de ce mot de passe (lié à la configuration finalement) qui doit être chiffré.

      • [^] # Re: utiliser pgp/gpg ?

        Posté par . Évalué à 2 (+1/-0). Dernière modification le 25/02/20 à 20:32.

        Salut,

        J'attends de voir ce que ça donne quand je vais réussir à exécuter quelque chose de compilé

        La sécurité par l'obfuscation, d'expérience je dirais que c'est une mauvaise pratique.

        1. c'est mal fait
        2. ça ne protège rien

        Donc bon, fais ton petit bout de code si ça te plais, mais je crois qu'il y a des gens qui ont y réfléchi pendant des années. ;)

      • [^] # Re: utiliser pgp/gpg ?

        Posté par (page perso) . Évalué à 4 (+2/-0). Dernière modification le 26/02/20 à 10:28.

        La configuration n'est pas censée être dans le code.

        https://12factor.net/config

        Tu es censé la stocker dans des fichiers de configuration, lisibles par ton application, mais avec des droits limités pour n'être lisibles que pour certains utilisateurs. Pour les données sensibles (mots de passe), il faut les injecter via des variables d'environnement. Ensuite tu ne stockes pas un mot de passe en clair pour le comparer avec celui par l'utilisateur: tu stockes le hash en général, et tu compares les hash. En revanche je suis preneur d'infos sur comment bien stocker le hash :)

        Ensuite, ta question ressemble à un Problème_XY.

        Donc à priori en bash, tu devrais stocker les infos sensibles dans des fichiers avec les bons droits, et demander à tes scripts de lire des variables d'environnement pour les données sensibles. Je dirais qu'il n'y a pas besoin de s'embêter à faire du C/C++.

        Mais ça ma parait bizarre de se préoccuper de cela sur une plateforme déjà obsolète il y a 10 ans, et donc déjà une passoire en termes de sécurité.

        • [^] # Re: utiliser pgp/gpg ?

          Posté par . Évalué à 2 (+1/-0).

          Salut,

          Assez d'accord avec tes remarques.

          En revanche je suis preneur d'infos sur comment bien stocker le hash :)

          Avec du sel ;)

          Mais peut-être que tu connais déjà cette info :(

Envoyer un commentaire

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.