/proc
Linux系统上的/proc目录是一种文件系统,即proc文件系统。与其它常见的文件系统不同的是,/proc 是一种伪文件系统(也即虚拟文件系统),存储的是当前内核运行状态的一系列特殊文件,用户可以通过这些文件查看有关系统硬件及当前正在运行进程的信息,甚至可以通过更改其中某些文件来改变内核的运行状态。
简单来讲,/proc 目录即保存在系统内存中的信息,大多数虚拟文件可以使用文件查看命令如cat、more或者less进行查看,有些文件信息表述的内容可以一目了然,但也有文件的信息却不怎么具有可读性。
/proc 目录中包含许多以数字命名的子目录,这些数字表示系统当前正在运行进程的进程号(PID),里面包含对应进程相关的多个信息文件:

每一个进程对应许多相关文件
/etc/passwd
该文件储存该linux系统中的所有用户的一些基本信息,只有root权限才可以进行修改。其具体格式为 :
用户名:口令:用户标识号:组标识号:注释性描述:主目录:登录Shell
(以冒号作为分隔符)
/proc/self
proc是一个伪文件系统,它提供了内核数据结构的接口。内核数据是在程序运行时在内部半导体存储器中数据通过/proc可以访问对应PID的进程内核数据,而proc/self访问的是当前进程的内核数据
/proc/self/cmdline
该文件包含的内容为当前进程执行的命令行参数
cmdline 文件存储着启动当前进程的完整命令,但僵尸进程目录中的此文件不包含任何信息。可以通过查看cmdline目录获取启动指定进程的完整命令:
/proc/self/maps
/proc/self/maps 包含的是当前进程的内存映射关系,可通过读取该文件来得到内存数据映射的地址/
/proc/self/cwd(self指向当前进程) or /proc/1289/cwd(已知进程号时)
cwd 文件是一个指向当前进程运行目录的符合链接。可以通过查看cwd文件获取目标指定进程环境的运行目录
ls -al /proc/1289/cwd
ls /proc/1289/cwd or ls /proc/self/cwd
该命令可以列出cwd中的文件,
cat /proc/1289/cwd/xxx.php来进行访问
exe
exe 是一个指向启动当前进程的可执行文件(完整路径)的符号链接。通过exe文件我们可以获得指定进程的可执行文件的完整路径
environ
environ 文件存储则着当前进程的环境变量列表,彼此间用空字符(Null) 隔开。变量用大写字母表示,其值用小写字母表示。可以通过查看environ目录来获取指定进程的环境变量信息。
常用来读取环境变量中的SECRET_KEY 或 FLAG信息
fd
fd 是 一个目录,里面包含着当前进程打开的每一个文件的文件描述符(file decriptor), 这些文件描述符是指向实际文件的一个 符号链接,即每个用过这个进程打开的文件都会显示在这里。所以我们可以通过fd目录里的文件获取指定进程打开的每个文件的路径以及文件内容。
查看指定进程的某个文件的路径:
在 linux 系统中,如果一个程序用open()打开了一个文件但最终没有关闭他,即便从外部(如os.remove(SECRET_FILE))删除这个文件之后,在 /proc 这个进程的 pid 目录下的 fd 文件描述符目录下还是会有这个文件的文件描述符,通过这个文件描述符我们即可得到被删除文件的内容。
self
/proc/self 表示当前进程目录。我们可以通过/proc/$pid/来获取指定进程的信息,这个方法需要知道进程pid。为了更方便的获取本进程的信息,linux提供了/proc/self目录,等价于/proc/本进程pid。
获取当前启动进程的完整命令
获取目标当前进程环境的运行目录与目录里的文件:
```bash
ls -al /proc/self/cwd
ls /proc/self/cwd
```
获取当前进程的环境变量
查看当前进程打开的文件内容
参考链接:
https://blog.q1ngchuan.top/2024/08/01/[CTF]proc目录的应用/index.html