竞态条件漏洞实验
-
实验简介
- 竞态条件是指多个线程同时访问或者操作同一块数据,运行的结果依赖于不同线程访问数据的顺序。如果一个拥有root权限的程序存在竞态条件漏洞的话,攻击者可以通过运行一个平行线程与漏洞程序竞争,以此改变该程序的行为。
-
实验准备
- 由于本实验环境开启了针对竞态条件攻击的保护,所以需要先关掉保护。该选项意味着全域可写sticky位开启的文件夹是不能作为链接目标所在文件夹的。
$ sudo su
$ echo 0 > /proc/sys/fs/protected_symlinks
$ exit
- 新建我们的工作目录:
$ cd ~
$ mkdir seed
$ cd /home/shiyanlou/seed
$ sudo vi vulp.c
- 输入如下内容:
/* vulp.c */
#include <stdio.h>
#include <string.h>
#include <unistd.h>
#define DELAY 10000
int main()
{
char * fn = "/tmp/XYZ";
char buffer[60];
FILE *fp;
long int i;
/* get user input */
scanf("%50s", buffer );
if(!access(fn, W_OK)){
for(i=0; i < DELAY; i++){
int a = i^2;
}
fp = fopen(fn, "a+");
fwrite("\n", sizeof(char), 1, fp);
fwrite(buffer, sizeof(char), strlen(buffer), fp);
fclose(fp);
}
else printf("No permission \n");
}
-
这是一个 Set-UID 程序(root所有) 它将用户输入的字符串添加到文件 /tmp/XYZ 后,access() 会检查用户是否具备访问资源的权限,也就是说该函数检查real id而不是effective id。
-
-
这个程序第一眼看上去没有任何问题,但是这里有一个竞态条件漏洞。由于检查(access)与访问(fopen)之间存在时间间隙,所以检查与访问的就有可能不是同一个文件,即使它们的名字相同。如果一个恶意攻击者可以创建一个 /tmp/XYZ/ 链接指向 /etc/shadow,输入的字符串就会追加到shadow文件中去。
-
利用竞态条件漏洞
-
重写拥有者为root的任意文件
- (1)
-
首先创建如下所示的几个文件,注意这几个文件的权限和所有者 。
-
vulp.c 是在上面已经创建的,vulp 文件是编译 vulp.c 产生的文件,是我们的漏洞文件。
-
编译漏洞程序代码并将其设为SET-UID文件。
-
新建 root_file 文件,它是我们的目标文件:
-
-
新建append_text 文件,在append_text文件中加入你想要在root_file里加入的任意内容
-
-
新建 tmp_file 文件,这是助攻文件:
-
这样攻击条件就都具备了,这步之后都以普通用户的身份进行攻击。
-
- (2)
- 创建检查时间戳的脚本check.sh,并将运行vulp的命令加入其中。
- (3)
- 创建攻击代码attacker.c并编译。
- 创建攻击代码attacker.c并编译。
-
-
(4)
- 点击 File-> Open Tab 在终端里新建标签页,先运行 attacker 再运行check.sh
- 可以看到20212822已经被写进root_file中了。(顺序倒过来的话会导致调用fopen生成一个root权限的/tmp/XYZ文件,那样攻击就失败了。)
-
保护机制A:重复
- 想要避免竞态条件的发生并不轻松,因为先检查再访问这个模式在很多程序中都是需要的。比起想办法移除漏洞,换个思路,我们可以增加更多的竞态条件,这样就能减小攻击者攻击成功的概率了。该机制的基础思想是重复access和fopen函数的次数。
- 修改 vulp.c 代码如下:
#include <stdio.h>
#include <unistd.h>
#define DELAY 10000
int main()
{
char * fn = "/tmp/XYZ";
char buffer[60];
FILE *fp;
long int i;
/* get user input */
scanf("%50s", buffer );
if(!access(fn, W_OK)){
if(!access(fn, W_OK)){
/*嵌套n层*/
fp = fopen(fn, "a+");
fwrite("\n", sizeof(char), 1, fp);
fwrite(buffer, sizeof(char), strlen(buffer), fp);
fclose(fp);
}
else printf("No permission \n");
}
else printf("No permission \n");
}
-
保护机制B:最小权限原则
- 该程序的根本问题就在于它违反了最小权限原则,程序员认识到运行这个程序的用户可能权利过大,所以引入access函数进行限制,但也同时引入了竞态条件的隐患。
- 更好的方法是使用setuid系统调用暂时禁止root权限,当需要时再恢复。请以此法修复漏洞,再重复之前的攻击,观察结果并解释。
- 代码如下:
#include <stdio.h>
#include <unistd.h>
#define DELAY 10000
int main()
{
char * fn = "/tmp/XYZ";
char buffer[60];
FILE *fp;
long int i;
/* get user input */
scanf("%50s", buffer );
uid_t euid = geteuid();
seteuid(getuid());
for (i=0; i < DELAY; i++){
int a = i^2;
}
if (fp = fopen(fn, "a+")){
fwrite("\n", sizeof(char), 1, fp);
fwrite(buffer, sizeof(char), strlen(buffer), fp);
fclose(fp);
}
else printf("No permission \n");
seteuid(euid);
}
$ sudo su
$ echo 1 > /proc/sys/fs/protected_symlinks
$ exit
扫一扫
182
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
