[漏洞分析] CVE-2023-38545 curl“史上最严重的漏洞“分析

最新推荐文章于 2024-06-19 20:21:51 发布
最新推荐文章于 2024-06-19 20:21:51 发布
阅读量5k 收藏 8
点赞数 5
分类专栏: 漏洞分析 二进制 # 逆向 文章标签: CVE-2023-38545 curl libcurl 漏洞分析 curl史上最严重漏洞 CVE复现 漏洞复现
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Breeze_CAT/article/details/133806595
版权
二进制 同时被 3 个专栏收录
56 篇文章 17 订阅
订阅专栏
逆向
18 篇文章 4 订阅
订阅专栏
漏洞分析
17 篇文章 11 订阅
订阅专栏

[漏洞分析] CVE-2023-38545 curl"史上最严重的漏洞"分析

文章目录

漏洞简介

漏洞编号: CVE-2023-38545

漏洞产品: (curl)[https://github.com/curl/curl]

影响范围: libcurl 7.69.0 - 8.3.0

利用条件: 需要在使用socks5代理的情况下,并且可以指定curl的url参数,约等于需要完全控制curl的参数

利用效果: 程序崩溃,拒绝服务

漏洞复现

环境搭建

参考:https://gist.github.com/xen0bit/0dccb11605abbeb6021963e2b1a811d3

可以不用这个docker,直接下载对应版本的curl编译,并开启调试符号:

wget https://github.com/curl/curl/releases/download/curl-7_74_0/curl-7.74.0.tar.gz
tar -vxf curl-7.74.0
cd curl-7.74.0.tar.gz
./configure --with-openssl --enable-debug
make

这里我不想make install,可以直接使用编译好的curl进行测试:

  • 编译好的curl在curl-7.74.0/src/.libs/curl

  • libcurl在curl-7.74.0/lib/.libs/libcurl.so

漏洞复现

在没有make install的情况下,需要设置环境变量LD_LIBRARY_PATH让curl使用刚编译的libcurl

export LD_LIBRARY_PATH=/root/cve-2023-38545/curl-7.74.0/lib/.libs/

然后下载这个建议python socks5代理工具:https://github.com/MisterDaneel/pysoxy

直接运行即可:

python3 pysoxy.py

然后执行

./src/.libs/curl -vvv -x socks5h://localhost:9050 $(python3 -c "print(('A'*10000), end='')")

在这里插入图片描述

漏洞原理

补丁分析

在这里插入图片描述

根据不定信息,我们可以发现,漏洞的重点在于hostname_len,当hostname_len过长的时候,会导致memcpy 越界写堆溢出。

除此之外,在补丁的上半部分,判断hostname_len是否大于255:

  • 漏洞版本中,大于255并不会返回错误,而是将socks5_resolve_local 设置为true,根据名字我们可以看出该变量代表是否进行本地处理(在这里意味着本地解析域名)
  • 修复版本中,如果hostname_len大于255则会直接返回错误代码CURLPX_LONG_HOSTNAME

调用栈

调用栈如下,但并不是一次调用就结束的,在easy_transfer函数中,如果没有成功读取到消息,则会一直重复尝试。

在这里插入图片描述

代码分析

由于整个curl过程状态机还是非常复杂的,所以我们重点放在漏洞相关的SOCKS相关函数中

设置代理状态

parse_proxy 函数中设置了代理状态:

在这里插入图片描述

由于我们的运行参数./src/.libs/curl -vvv -x socks5h://localhost:9050 $(python3 -c "print(('A'*10000), end='')") 使用的是socks5h,所以这里设置的状态是CURLPROXY_SOCKS5_HOSTNAME 很重要,后面会遇到。

第一次执行Curl_SOCKS5

接下来直接看漏洞所在函数Curl_SOCKS5:

curl-7.74.0\lib\socks.c : 484

CURLproxycode Curl_SOCKS5(const char *proxy_user,
                          const char *proxy_password,
                          const char *hostname,
                          int remote_port,
                          int sockindex,
                          struct connectdata *conn,
                          bool *done)
{
  ··· ···
  //[1]这里我们的状态是CURLPROXY_SOCKS5_HOSTNAME 而不是CURLPROXY_SOCKS5,所以是false
  bool socks5_resolve_local = 
    (conn->socks_proxy.proxytype == CURLPROXY_SOCKS5) ? TRUE : FALSE; 
  const size_t hostname_len = strlen(hostname);
  ··· ···

  if(!SOCKS_STATE(sx->state) && !*done)
    sxstate(conn, CONNECT_SOCKS_INIT); //[2]设置初始状态

  switch(sx->state) {
  case CONNECT_SOCKS_INIT: //[2]初始化逻辑
      ··· ···
    //[3]关键逻辑hostname_len 是10000 大于255
    if(!socks5_resolve_local && hostname_len > 255) { 
      infof(conn->data, "SOCKS5: server resolving disabled for hostnames of "
            "length > 255 [actual len=%zu]\n", hostname_len);
      socks5_resolve_local = TRUE; //[3]处理方式不是返回错误,而是将 socks5_resolve_local 设置为true
    }

    ··· ···
    sxstate(conn, CONNECT_SOCKS_READ);//[4]更新状态,按顺序更新状态机
    goto CONNECT_SOCKS_READ_INIT;
  CONNECT_SOCKS_READ_INIT:
  case CONNECT_SOCKS_READ_INIT:
    ··· ···
  case CONNECT_SOCKS_READ:
    ··· ···
    if(result && (CURLE_AGAIN != result)) {
      ···
    }
    ··· ···
    else if(actualread != sx->outstanding) {
      /* remain in reading state */
      sx->outstanding -= actualread;
      sx->outp += actualread;
      return CURLPX_OK; //[5]暂时返回ok
    }
  ··· ···
}

[1] 这里判断proxy的类型,由于我们使用的参数是socksh所以我们的proxy类型为CURLPROXY_SOCKS5_HOSTNAME,所以这里socks5_resolve_local的结果是false。

在这里插入图片描述

[2] 第一次执行这个函数的时候会设置初始状态机CONNECT_SOCKS_INIT,并在下面状态机处理逻辑中进入初始化逻辑

[3] 在初始化中会经历补丁的第一个点,判断hostname_len长度,我们执行的命令中,A*10000就是作为hostname存在。这里由于逻辑有误,导致hostname即便超过255也不会返回错误,而是将socks5_resolve_local改成true继续执行。

在这里插入图片描述

[4] 按照逻辑一步一步更新状态机CONNECT_SOCKS_READ,并根据状态机继续执行

[5] 返回OK,但整个请求并没有完成,当前SXSTATE状态机是CONNECT_SOCKS_READ

第二次执行Curl_SOCKS5

由于我们请求的域名肯定是不存在的,所以curl是没有完成任务的,所以在easy_transfer中还会继续重复刚刚的逻辑,也就是会第二次执行到Curl_SOCKS5函数:

curl-7.74.0\lib\socks.c : 484

CURLproxycode Curl_SOCKS5(const char *proxy_user,
                          const char *proxy_password,
                          const char *hostname,
                          int remote_port,
                          int sockindex,
                          struct connectdata *conn,
                          bool *done)
{
  //[1]缓冲区整个长只有600
  unsigned char *socksreq = &conn->cnnct.socksreq[0];
  //[2]这里我们的状态是CURLPROXY_SOCKS5_HOSTNAME 而不是CURLPROXY_SOCKS5,所以是false
  bool socks5_resolve_local = 
    (conn->socks_proxy.proxytype == CURLPROXY_SOCKS5) ? TRUE : FALSE; 
  const size_t hostname_len = strlen(hostname);
  ··· ···
  switch(sx->state) {
  case CONNECT_SOCKS_READ: //[3]当前状态机是CONNECT_SOCKS_READ
    ··· ···
    if(result && (CURLE_AGAIN != result)) {
      ··· ···
    }
    ··· ···
    else if(socksreq[1] == 0) {
      /* DONE! No authentication needed. Send request. */
      sxstate(conn, CONNECT_REQ_INIT); //[3]在初始化的时候设置为1,第二次执会走到这里
      goto CONNECT_REQ_INIT;
    }
    ··· ···
 CONNECT_REQ_INIT:
  case CONNECT_REQ_INIT:
    //[4]由于上面给socks5_resolve_local设置为了false,所以跳过这里
    if(socks5_resolve_local) { 
      ··· ···
    }
    goto CONNECT_RESOLVE_REMOTE;// 跳转到CONNECT_RESOLVE_REMOTE
  ··· ···
  CONNECT_RESOLVE_REMOTE:
  case CONNECT_RESOLVE_REMOTE: 
    /* Authentication is complete, now specify destination to the proxy */
    len = 0;
    socksreq[len++] = 5; /* version (SOCKS5) */
    socksreq[len++] = 1; /* connect */
    socksreq[len++] = 0; /* must be zero */

    if(!socks5_resolve_local) {
      socksreq[len++] = 3; /* ATYP: domain name = 3 */
      socksreq[len++] = (char) hostname_len; /* one byte address length */
      memcpy(&socksreq[len], hostname, hostname_len); /* address w/o NULL */ //[5]溢出
      len += hostname_len;
      infof(data, "SOCKS5 connect to %s:%d (remotely resolved)\n",
            hostname, remote_port);
    }
  ··· ···
}

[1] 溢出缓冲区的来源,socksreq只有600的长度,并且这个缓冲区在使用的时候,单个子缓冲区只有255最大值(因为是用char表示长度)

#define SOCKS_REQUEST_BUFSIZE 600  /* room for large user/pw (255 max each) */
struct connstate {
  enum connect_t state;
  unsigned char socksreq[SOCKS_REQUEST_BUFSIZE];
  ··· ···
};

struct connectdata {
  struct Curl_easy *data;
  struct connstate cnnct;
  ··· ···
}

[2] 跟第一次一样,socks5_resolve_local被初始化为false

[3] 上一次返回后状态机是CONNECT_SOCKS_READ,这一次从CONNECT_SOCKS_READ开始处理,跳过了初始化阶段的hostname长度判断,并将状态机更新为CONNECT_REQ_INIT

[4] 在CONNECT_REQ_INIT状态机处理中,由于socks5_resolve_local是false,则跳过了这一步直接到CONNECT_RESOLVE_REMOTE

[5] 直接向最大长度600的缓冲区拷贝了10000个A,造成堆溢出,程序崩溃。

在这里插入图片描述

修复后

在这里插入图片描述

补丁更新后,在第一次CONNECT_SOCKS_INIT状态机处理的时候,判断hostname长度大于255就会直接返回错误,程序就会异常退出。

在这里插入图片描述

总结

关于为什么要这么设计,可以参考开发人员的这篇博客,里面写了新路历程。curl的状态机挺复杂的,以复现这个漏洞为目的的话去研究状态机实数多余。这里仅关注漏洞触发的相关逻辑。

目前来看利用比较难,因为只是一次性的,不能持续交互,该结构体后面也没有什么函数指针。当前能达到的最佳效果就是拒绝服务,并且利用条件还比较苛刻,需要在使用SOCKS5的场景下可以指定curl的hostname,其实约等于需要攻击者完全控制curl的参数,所以不必太过惊慌。

参考

https://mp.weixin.qq.com/s/V0DoskAs05S1XhEFjgMkpw

https://gist.github.com/xen0bit/0dccb11605abbeb6021963e2b1a811d3

https://github.com/curl/curl/commit/fb4415d8aee6c1045be932a34fe6107c2f5ed147

https://daniel.haxx.se/blog/2023/10/11/how-i-made-a-heap-overflow-in-curl/

breezeO_o
关注
  • 5
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 8
    评论
专栏目录
【已复现curl SOCKS5 堆溢出漏洞(CVE-2023-38545)安全风险通告
smellycat000的专栏
10-11 2095
●点击↑蓝字关注我们,获取更多安全风险通告漏洞概述漏洞名称curl SOCKS5 堆溢出漏洞漏洞编号QVD-2023-23751、CVE-2023-38545公开时间2023-10-10影响对象数量级亿级奇安信评级高危CVSS 3.1分数7.0威胁类型代码执行利用可能性低POC状态已公开在野利用状态未发现EXP状态未公开技术细节状态已公开利用条件:需要通过socks5代理,且url可控。(注:奇...
libcurl Socks5 堆缓冲区溢出漏洞CVE-2023-38545)详细分析
murphysec的博客
10-25 718
curl 是用于在各种网络协议之间传输数据的命令行工具,libcurl 用于提供处理网络通信和数据传输的 Api 接口。curl 默认下载缓冲区为 102400 字节,但如果设置低于每秒 102400 字节,缓冲区大小会自动设置为更小的值。libcurl 下载缓冲区默认为 16KB,应用程序可通过 CURLOPT_BUFFERSIZE 选项设置其大小。
CVE-2020-1957 漏洞复现
最新发布
huohaowen的博客
06-19 350
在一开始翻阅了CSDN之后,发现不同文章之间存在出入,于是最后去了CVE的官方文档,和参考一些国外的底层代码审计人员的报告,发现原理和CSDN上的部分文章存在出入,但是POC是相同的。在新版本的Shiro中GetRequestURL是由contextPath()+ servletPath()+ pathinfo() 这三个函数组合而成,当黑客传入。POC之后,在Shiro的过滤之下,返回的路径将会变成/admin/成功匹配,不会放行,成功防止了权限的绕过。然后我们用我们的POC去访问,成功绕过身份验证。
Curl安全:维护网络传输的关键挑战】
qq_43751649的博客
10-10 600
Curl是一款广泛应用的命令行工具,用于在服务器之间传输数据。然而,最近即将公开的高危漏洞CVE-2023-38545的存在引发了广泛关注。本文将探讨Curl的重要性、漏洞对业务的影响以及如何保护网络传输的安全。引言在当今数字化时代,网络传输是现代社会中不可或缺的一部分。无论是数据交换、文件下载还是网页浏览,我们都依赖于安全可靠的网络传输工具。Curl作为一款强大的命令行工具,为我们提供了方便快捷的数据传输方式。
赶紧排查!libcurl高危漏洞来了!
IT界那些事儿
10-09 1964
但注意,在curl新版本发布之前,关于这两个漏洞的信息,作者半个字都不会说。他的twitter中写的很清楚,甚至连这两个漏洞影响哪些版本都不会透露,防止大家根据这点信息去比较版本更新历史,找到这两个漏洞。如果仅仅是curl漏洞也不是什么大事,最关键的是,它的底层库 libcurl 被广泛应用于各种软件和项目中,使得开发者能够在其应用程序中进行网络交互。轩辕之前做C/C++开发中,就经常用到这个库。即便你没有直接引用,但你用到的一些中间件中,也很有可能间接用到了这个库,这样算下来,其影响面就非常广了。
curl&libcurl存在缓冲区溢出高危漏洞 (CVE-2023-38545)解决
qq_40619119的博客
10-13 3875
目前该漏洞只影响libcurl 7.69.0 ~ 8.3.0版本,不受漏洞影响的版本:libcurl < 7.69.0 和 >= 8.4.0。
Curl漏洞-- CVE-2023-38545解决方案
一杯咖啡的渗透记忆
10-13 1218
问题出现在文件 lib/socks.c 中。当提供远程主机名并使用 SOCKS5 时,设置socks5_resolve_local 变量的逻辑中存在缺陷,这意味着当由于主机名长度超过 SOCKS5 中主机名字段的限制 255 而将其设置为 TRUE 时,连接可能会很慢 导致该分配被设置为FALSE的socks5_resolve_local覆盖。默认情况下,curl CLI 工具将缓冲区设置为 102400 字节,但如果提供了 --limit-rate 参数,则可能会设置为更小的值。中可用,Commit在。
漏洞预警|CVE-2023-38545 Curllibcurl 堆缓冲区溢出漏洞
LJQClqjc的博客
10-12 586
官方已修复该漏洞,建议用户更新到安全版本。
CVE-2023-6548 和 CVE-2023-65的Citrix Netscaler/ADC-13.0-92.21 最新补丁
01-19
针对CVE-2023-6548 和 CVE-2023-6549 的 NetScaler ADC 和 NetScaler Gateway 的漏洞补丁升级包 CVE-2023-6548 :在管理接口上执行经过身份验证的(低特权)远程代码 CVE-2023-6549:拒绝服务 2、 强烈建议受影响...
CVE-2023-21768 Windows AFD 本地提权漏洞 C 源码
08-23
CVE-2023-21768 Windows Ancillary Function Driver (AFD) afd.sys本地提权漏洞。 AFD (Ancillary Function Driver)是Windows操作系统中的一个内核模式驱动程序。 漏洞原理: 该漏洞存在于AFD驱动程序处理用户...
CVE-2023-28252 CLFS Windows 本地提权漏洞 POCC 源码
08-23
CVE-2023-28252 是一个存在于 clfs.sys(通用日志文件系统驱动程序)中的越界写入漏洞。 卡巴斯基披露该在野0day提权漏洞是一个越界写入(增量)漏洞,当目标系统试图扩展元数据块时被利用来获取system权限———...
OpenSSH(CVE-2023-38408)一键升级修复-OpenSSH9.5p1
10-17
2023年,OpenSSH发现了一个名为CVE-2023-38408的安全漏洞,这个漏洞可能允许攻击者在特定条件下绕过身份验证或执行未授权的操作,对系统安全构成威胁。为了保护您的系统不受此漏洞影响,及时升级到OpenSSH 9.5p1...
注意!开源命令行工具Curl 中存在严重漏洞
smellycat000的专栏
10-09 809
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士专栏·供应链安全数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本性、基础性问题。随着软件产业的快速发展,软件供应链也越发复杂多元,复杂的软件供应链会引入一系列的安全问题,导致信息系统的整体安全防护难度越来越大。近年来,针对软件供应链的安全攻击事件一直呈快速增长...
CVE-2023-38545 && CVE-2023-38546 漏洞原理及影响范围
BGiscool的博客
10-11 2128
由于一个错误,在缓慢的SOCKS5握手过程中,表示“让主机解析名称”的本地变量可能会得到错误的值,并且与目的相反,将过长的主机名复制到目标缓冲区,而不是仅复制已解析的地址。如果源句柄未从磁盘上的特定文件读取任何 Cookie,则克隆版本的句柄会将文件名存储为 (使用四个 ASCII 字母,不带引号)。随后使用克隆的句柄(如果未显式设置要从中加载 cookie 的源)会无意中从名为 - 如果此类文件存在并且可以使用 libcurl 在程序的当前目录中读取。libcurl 7.69.0至8.3.0。
CVE-2023-35843NocoDB 任意文件读取漏洞(CVE-2023-35843)
m0_46317063的博客
06-29 614
cve-2023-35843
centos6/7 SOCKS5 堆溢出漏洞修复(RPM方式)curl 8.4 CVE-2023-38545 CVE-2023-38546
期待幸福
10-14 632
更新10月11日发布的 curl 8.4.0版本,在新版本中修复漏洞 CVE-2023-38545CVE-2023-38546
CVE-2023-35843:NocoDB任意文件读取漏洞复现
薛定谔嘚喵博客
09-07 585
NocoDB是一个开源 Airtable 替代品。将任何 MySql、PostgreSql、Sql Server、Sqlite 和 MariaDb 转换为智能电子表格。NocoDB 0.106.0版本及之前版本存在安全漏洞。攻击者利用该漏洞可以访问服务器上的任意文件。
准备熬夜加班?curl&libcurl 高危漏洞明日公布
FreeBuf_的博客
10-10 225
curl支持几乎所有的互联网协议(DICT,FILE,FTP,FTPS,GOPHER,HTTP,HTTPS,IMAP,IMAPS,LDAP,LDAPS,MQTT,POP3,POP3S,RTMP,RTMPS,RTSP,SCP,SFTP,SMB,SMBS,SMTP ,SMTPS,TELNET和TFTP)。作者在发文时也表示,这个漏洞可能是curl&libcurl在相当长一段时间内最严重漏洞,因此不能公布更多的细节,防止该漏洞被攻击者利用,唯一可以知道的就是“最近几年内发布的版本都会受到该漏洞影响”。
mysql安全漏洞CVE-2023-0215
07-29
很抱歉,但我无法回答关于"mysql安全漏洞CVE-2023-0215"的问题。因为在您提供的引用内容中,并没有提到与该漏洞相关的信息。如果您有其他关于该漏洞的引用内容或更多的背景信息,我将很乐意为您提供帮助。 #### 引用[.reference_title] - *1* *3* [CVE-2023-21839漏洞本地简单复现](https://blog.csdn.net/csdnmmd/article/details/129247272)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* [CVE-2023-0215](https://blog.csdn.net/qq_39933800/article/details/131203431)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 8
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值