2022-2023-1 20222802 《Linux内核原理与分析》第十一周作业

一、相关知识

竞态条件是指多个线程同时访问或者操作同一块数据，运行的结果依赖于不同线程访问数据的顺序。如果一个拥有root权限的程序存在竞态条件漏洞的话，攻击者可以通过运行一个平行线程与漏洞程序竞争，以此改变该程序的行为。

在本实验中学生将利用竞态条件漏洞获得root权限。除了攻击之外，学生还将学习如何制定保护方案抵御该类攻击。

二、实验步骤

实验1.1：重写拥有者为root的任意文件

1.先关掉针对竞态条件攻击的保护，再新建工作目录

 2.创建vulp.c文件

 

 

这是一个 Set-UID 程序(root所有) 它将用户输入的字符串添加到文件 /tmp/XYZ 后，access() 会检查用户是否具备访问资源的权限，也就是说该函数检查real id而不是effective id。

这个程序第一眼看上去没有任何问题，但是这里有一个竞态条件漏洞。由于检查（access）与访问（fopen）之间存在时间间隙，所以检查与访问的就有可能不是同一个文件，即使它们的名字相同。如果一个恶意攻击者可以创建一个 /tmp/XYZ/ 链接指向 /etc/shadow,输入的字符串就会追加到shadow文件中去。

3.vulp 文件是编译 vulp.c 产生的文件，是我们的漏洞文件。编译漏洞程序代码并将其设为SET-UID文件。设置suid只需运行以下命令：sudo chmod u+s vulp

 4.新建 root_file 文件，它是我们的目标文件。新建append_text 文件，在append_text文件中加入你想要在root_file里加入的任意内容，比如20222802qqq。新建 tmp_file 文件，这是我们的助攻文件。这样攻击条件就都具备了，这步之后都以普通用户的身份进行攻击。

 

 5.创建检查时间戳的脚本check.sh，并将运行vulp的命令加入其中。

 6.创建攻击代码attacker.c并编译

 7.此时文件夹目录的情况

8. 点击 File-> Open Tab 在终端里新建标签页，先运行 attacker 再运行check.sh

 可以看到内容已经被写进root_file中了。（顺序倒过来的话会导致调用fopen生成一个root权限的/tmp/XYZ文件，那样攻击就失败了。）

实验1.2：获取root权限

先回顾下passwd文件与shadow文件中的格式

/etc/passwd:
-------------
smith:x:1000:1000:Joe Smith,,,:/home/smith:/bin/bash
/etc/shadow:
-------------
smith:*1*Srdssdsdi*M4sdabPasdsdsdasdsdasdY/:13450:0:99999:7:::

这里假设 账户名：clover 密码：revolc

1.生成shadow密码

$ mkpasswd -m sha-512 revolc

2.格式替换

在 /etc/passwd 文件中添加:
-------------
clover:x:0:0:Lucy,,,:/home/clover:/bin/bash
在 /etc/shadow 文件中添加:
-------------
clover:$6$D1viNru/muy$RH/3rX7T977d81qTZx1ULeURLl1ldKDHT48Nn3UMaED2ppd6eC40URnvEnLcG0uDTk6aZj0tWpSdKStDuBKqU0:13450:0:99999:7:::

（注意输入文件的内容不能有空格或者换行，请用命令生成shadow密码。）

实验2: 保护机制A：重复

想要避免竞态条件的发生并不轻松，因为先检查再访问这个模式在很多程序中都是需要的。比起想办法移除漏洞，换个思路，我们可以增加更多的竞态条件，这样就能减小攻击者攻击成功的概率了。该机制的基础思想是重复access和fopen函数的次数。

请使用这个策略修改漏洞程序，重复你的攻击。

修改 vulp.c 代码如下：

 注意：修改后重新编译一下。

实验3: 保护机制B：最小权限原则

该程序的根本问题就在于它违反了最小权限原则，程序员认识到运行这个程序的用户可能权利过大，所以引入access函数进行限制，但也同时引入了竞态条件的隐患。

更好的方法是使用setuid系统调用暂时禁止root权限，当需要时再恢复。请以此法修复漏洞，再重复之前的攻击，观察结果并解释。

代码如下

 同样，修改后重新编译一下

实验4: 保护机制C：Ubuntu内置方案

在本节实验中，你只需要重新开启保护机制，观察攻击结果并回答以下几个问题就可以了。

1. 为什么该保护机制起作用了？

2. 这是一个优秀的保护机制么？为什么是？为什么不是？

3. 该机制有什么限制的地方？

开启保护机制的命令如下：

$ sudo su
$ echo 1 > /proc/sys/fs/protected_symlinks
$ exit