【安全漏洞】从补丁追溯漏洞触发路径

最新推荐文章于 2023-07-05 21:58:32 发布
最新推荐文章于 2023-07-05 21:58:32 发布
阅读量386 收藏 2
点赞数
分类专栏: 安全 网络 程序员 文章标签: 网络安全 安全漏洞 计算机网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/HBohan/article/details/121034986
版权
本文深入分析了一个针对Nginx 1.4.0的栈溢出漏洞,通过补丁回溯触发路径。漏洞源于ngx_http_parse_chunked函数对负值的不当处理,导致在ngx_http_read_discarded_request_body函数中发生栈溢出。文章详细介绍了漏洞复现、数据流及触发条件。
摘要由CSDN通过智能技术生成

背景

操作系统:ubuntu 18.04 64bit

漏洞软件:nginx-1.4.0

查看资料

1. 漏洞补丁信息

从补丁可以认识一个漏洞的触发源。

查看github中的补丁信息Fixed chunk size parsing. · nginx/nginx@818807d (github.com)如下:

if (ctx->size < 0 || ctx->length < 0) {
   
        goto invalid;
    }

    return rc;

可以看到补丁中在/src/http/ngx_http_parse.c的ngx_http_parse_chunked函数返回值中增加了对变量ctx->length和ctx->size的负值判断
在这里插入图片描述
查看ctx变量的结构体定义,

struct ngx_http_chunked_s {
   
    ngx_uint_t           state;
    off_t                size;
    off_t                length;
};`在这里插入代码片`

可以看到size和length的类型变量是off_t,而off_t对应了long int,是一个有符号的变量(记住这一点,很重要)。

2. 漏洞触发路径分析

从上一步中可以得到漏洞的根源在于/src/http/ngx_http_parse.c的ngx_http_parse_chunked函数,与负值的变量ctx->length和ctx->size有关,现在开始追踪这两个变量的后续流向。

2.1 漏洞复现
POC信息

从互联网可以找到该漏洞的POC如下:

import socket

host = "127.0.0.1"
ip='127.0.0.1'

raw = '''GET / HTTP/1.1\r\nHost: %s\r\nTransfer-Encoding: chunked\r\nConnection: Keep-Alive\r\n\r\n''' % (host)

s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
s.connect((ip, 80))

data1 = raw
data1
最低0.47元/天 解锁文章
IT老涵
关注
专栏目录
nginx-1.4.0:用于CVE-2013-2028的分析
05-14
nginx-1.4.0 用于的 漏洞利用:exp-nginx.rb 二进制文件(用于rop构建):nginx
Nginx栈溢出分析 - CVE-2013-2028
dengzhasong7076的博客
01-11 1072
分析 + 运行环境: ubuntu x64 + centos 环境搭建: https://github.com/kitctf/nginxpwn 影响版本: nginx 1.3.9 - 1.4.0 主要以此来学习BROP: 可以不需要知道该应用程序的源代码或者任何二进制代码进行攻击,类似SQL盲注。 基础铺垫 Nginx是一个轻量级的Web服务器,它还具有反向代理、电子邮件代理等功能,并且...
CVE-2013-2028 经典栈溢出漏洞复现资料整理
^_^
10-25 2201
一个经典的由整数溢出导致栈溢出的漏洞。下面感觉写的有点乱。 文章目录复现漏洞相关基础知识CVE-2013-2028原理安装漏洞环境ubuntu 安装docker安装metasploit框架触发漏洞网站上现有的exp 复现漏洞 CVE-2013-2028:nginx 栈溢出漏洞 相关基础知识 栈的基础知识:https://ctf-wiki.github.io/ctf-wiki/pwn/linux/stackoverflow/stack-intro-zh/ 栈溢出原理:https://ctf-wik
一次历史漏洞分析与复现的全部过程
HBohan的博客
02-26 2508
环境需求 系统:Windows10 中间件:https://dlcdn.apache.org/tomcat/tomcat-9/v9.0.58/bin/apache-tomcat-9.0.58-windows-x64.zip 数据库:用phpstudy携带的5.7.26版本即可 jspxcms安装包(部署到Tomcat用来复现):https://www.ujcms.com/uploads/jspxcms-9.0.0-release.zip jspxcms源码包(部署到IDEA进行分析):https://w
本地执行漏洞溯源
weixin_50698958的博客
10-06 309
靶场: https://www.mozhe.cn/bug/detail/NCtVbElOSmRDVFdmS1EyOVhZM3A5QT09bW96aGUmozhe 背景介绍 一个简单的文件存储系统,分析一下可能存在的漏洞吧。 实训目标 1、了解WEB目录的权限设置; 2、了解本地执行权限漏洞形成; 解题方向 通过上传功能,获取应用层的代码权限,分析溯源漏洞形成原因。 解题思路: 1.打开靶场,发现上传页面。 2.尝试上传一句话木马,发现成功上传。 3.访问/upload/2.ph
一个漏洞潜伏54年?谁才是“潜伏界”最强王者
HBohan的博客
07-17 211
2021 年,瑞典斯德哥尔摩KTH皇家理工学院的计算机科学教授Pontus Johnson在通用图灵机(UTM)中发现了可执行任意代码的相关漏洞。令人震惊的是,易受攻击的代码已经存在了将近54 年——而且还没有可用的补丁,也不指望会出现补丁。 幸运的是,这种通用图灵机(UTM)是由已故的人工智能学家Marvin Minsky在1967年提出的一项概念模拟设计,尽管它对计算机科学领域具有重要的理论意义,但实际上从未真正构建到现实世界的计算机中。 但在Minsky提出这种概念模拟设计后十年间,早期版本的Uni.
模糊测试--强制性安全漏洞发掘
热门推荐
软件性能测试专栏
01-20 2万+
文档分享地址链接:http://pan.baidu.com/share/link?shareid=2723797392&uk=2485812037 密码:r43x 前 言 我知道"人类和鱼类能够和平共处" 。 --George W. Bush, 2000年9月29日 简介 模糊测试的概念至少已经流传了20年,但是直到最近才引起广泛的关注。安全漏洞困扰了许多流行的客户端应用程序
DLL劫持漏洞自动化识别工具Rattler测试
CanMeng'Blog - 一个WEB安全渗透的技术爱好者
07-28 5285
0x00 前言 最近,来自SensePost的Chris Le Roy开源了一款工具:Rattler,可用来自动识别DLL是否存在预加载漏洞(也可以理解为DLL劫持漏洞,文中该名词均采用DLL劫持漏洞)。虽然DLL劫持漏洞已不再是新技术,可追溯到2010年,但是我对自动化很是感兴趣,于是对此做了进一步研究。 本文将理清DLL劫持漏洞原理,实例分析,测试自动化工具Rattler,分享心得,并测试...
理解ROP攻击:栈溢出漏洞的利用
在计算机安全领域,漏洞是指软件或硬件中的一种错误或缺陷,可能被攻击者利用来执行恶意操作。栈溢出漏洞是其中最常见的一种漏洞类型之一。栈溢出漏洞通常发生在程序未能正确验证或限制输入数据导致的情况下,攻击者...
【kali-漏洞利用】(3.3)Metasploit后渗透(下):后渗透模块使用
08-06 713
【kali-漏洞利用】后渗透模块利用
后渗透之查看补丁安装情况
不忘初心,护天下安全!
06-02 440
通过查看补丁安装情况,发现操作系统可能存在的安全缺陷。查看安装的软件及版本和路径:查看系统补丁安装情况:
安全攻击溯源思路及案例+思维导图
mingyqf的博客
03-17 5025
安全攻击溯源思路及案例 在攻防的视角里,进攻方会占据比较多的主动性,而防守方则略显被动,因为作为防守方,你永远也不知道攻击会在什么时候发生。你所能做的是,做好自己该做的一切,准备好自己该准备的一切,耐心等待对手犯错的机会。 在发现有入侵者后,快速由守转攻,进行精准地溯源反制,收集攻击路径和攻击者身份信息,勾勒出完整的攻击者画像。 1、攻击源捕获 1.安全设备报警,如扫描IP、威胁阻断、病毒木马、入侵事件等 ​ 2.日志与流量分析,异常的通讯流量、攻击源与攻击目标等 ​ 3.服务器资源异常,异常的文件、账号
Windows下的本地提权漏洞梳理及后渗透简析
Alexz__的博客
06-09 1006
1.github网址,截图,不同系统版本对应的漏洞 2.后渗透阶段 壹 通过1day漏洞进行Windows本地提权 分享一个github链接:Windows提权漏洞整理 里面大部分是基于x64系统的漏洞直接利用程序exe,傻瓜式操作,一键提权 C:\Users\Knownsec.zyg> C:\Users\Knownsec.zyg>xxxx.exe "whoami" C:\Users\Knownsec.zyg> 粘一个大佬分享的截图: 提权前若是能够查看该系统...
内网渗透之——windows本地漏洞提权之——溢出提权
wsnbbz的博客
03-10 2052
利用本地服务提权漏洞基本思路 1.systeminfo收集补丁信息 执行命令:systeminfo 查看系统信息(包含补丁信息) 2.对比补丁编号,寻找可用exp(Exploit,漏洞攻击脚本) 寻找此版本存在的所有漏洞,对比此服务器有哪些没有打过补丁,利用没打补丁漏洞exp攻击 3.将合适的exp上传到服务器【可利用dama(密码xiaowang520)、菜刀上传】 exp上传...
CVE-2023-21839 【vulhub weblogic 漏洞复现】
最新发布
weixin_65722679的博客
07-05 727
CVE-2023-21839 【vulhub weblogic 漏洞复现】
CVE-2023-21839 WebLogic Server RCE分析
Jay
04-18 838
在后续的进行lookup操作之前会检查 JNDI 环境是否已正确配置以访问远程资源,主要是对jndiEnvironment和remoteJNDIName的检测,如果在if中的任何一个条件为真,那么将调用对象的lookup方法,如果 if 语句中的所有条件都为假,则会进入检查cachedReferent字段的阶段。weblogic10 及以后的版本,不能直接使用server/lib 目录下的 weblogic.jar 了,需要手动执行一个命令生成手动生成 wlfullclient.jar。
CentSO 7 x64 nginx-1.18.0.tar.gz
qq 117791303
06-28 318
CentSO 7 x64 nginx-1.18.0.tar.gz
apache commons fileupload 变更记录(2016-07-01更新)
Jog熊吉的博客
07-11 1400
发行记录 发行历史 版本 日期 描述 1.4 待定 待定 1.3.2 2016-05-26 对1.3.1的bug修复。 1.3.2 2014-02-07 这是一个安全可维护的发行版,它包括一个重要的安全修复。与1.3.1项目没有其他区别。
亚运会食品安全追溯编码规则
"DBJ440100T 26-2009 亚运会食品安全 食品追溯编码规则" 《DBJ440100T 26-2009 亚运会食品安全 食品追溯编码规则》是广州市地方技术规范,专门针对2009年广州亚运会的食品安全追溯体系制定的一套编码标准。该标准...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值