CVE-2013-2028 经典栈溢出漏洞复现资料整理

最新推荐文章于 2024-05-27 17:25:08 发布
最新推荐文章于 2024-05-27 17:25:08 发布
阅读量2k 收藏 5
点赞数
分类专栏: 漏洞复现 文章标签: 安全 整数溢出 栈溢出 nginx
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013648063/article/details/120959621
版权

一个经典的由整数溢出导致栈溢出的漏洞。下面感觉写的有点乱。

复现漏洞

  • CVE-2013-2028:nginx 栈溢出漏洞

相关基础知识

  • 栈的基础知识:https://ctf-wiki.github.io/ctf-wiki/pwn/linux/stackoverflow/stack-intro-zh/

  • 栈溢出原理:https://ctf-wiki.github.io/ctf-wiki/pwn/linux/stackoverflow/stackoverflow-basic-zh/

  • 基础的ROP:https://ctf-wiki.github.io/ctf-wiki/pwn/linux/stackoverflow/basic-rop-zh/

  • 一步一步学rop(蒸米rop):

    • 一步一步学ROP(x86):http://www.vuln.cn/6645
    • 一步一步学ROP(x64):http://www.vuln.cn/6644
    • 其他人学习蒸米rop的记录:https://www.yuque.com/hxfqg9/bin/zzg02e

CVE-2013-2028原理

参考资料

  • (这篇比较详细)https://www.cnblogs.com/iamstudy/articles/nginx_CVE-2013-2028_brop.html
  • https://www.anquanke.com/post/id/85331
  • http://www.91ri.org/6029.html

原理简述

CVE-2013-2028是nginx的一个整数溢出导致栈溢出的漏洞。

从触发漏洞的关键函数ngx_http_discard_request_body开始分析。这个函数中,会对chunked的值进行判断,如果chunked的值为1,则会进入到if语句内部处理逻辑,会调用另一个函数ngx_http_discard_request_body_filter

ngx_http_discard_request_body(ngx_http_request_t *r)
{
    if (size || r->headers_in.chunked) {
        rc = ngx_http_discard_request_body_filter(r, r->header_in);
        if (rc != NGX_OK) {
            return rc;
        }
        if (r->headers_in.content_length_n == 0) {
            return NGX_OK;
        }
    }
    ngx_http_read_discarded_request_body

在执行ngx_http_discard_request_body离开if语句逻辑后,会执行ngx_http_read_discarded_request_body。首先先看if里的ngx_http_discard_request_body_filter函数。

ngx_http_discard_request_body_filter(ngx_http_request_t *r, ngx_buf_t *b)
{
     for ( ;; ) {
            rc = ngx_http_parse_chunked(r, b, rb->chunked);
            if (rc == NGX_OK) {
                /* a chunk has been parsed successfully */
            }
            if (rc == NGX_DONE) {
                /* a whole response has been parsed successfully */
            }
            if (rc == NGX_AGAIN) {
                /* set amount of data we want to see next time */
                r->headers_in.content_length_n = rb->chunked->length;
                break;
            }

注意在for循环中会进行三个if语句逻辑处理,分别对应三种NGX状态,在rc==NGX_AGAIN的时候,会对content_length_n成员变量进行赋值。NGX_AGAIN就是要第二次接收时才会触发,所以要发两个数据包才会触发该漏洞。

通过动态调试会知道content_length_n的值成了一个极大值0xfdffbbffa8afed92。随后进入ngx_http_read_discarded_request_body函数处理。

src/http/ngx_http_request_body.c:676
static ngx_int_t
ngx_http_read_discarded_request_body(ngx_http_request_t *r)
{
    size_t     size;
    ssize_t    n;
    ngx_int_t  rc;
    ngx_buf_t  b;
    u_char     buffer[NGX_HTTP_DISCARD_BUFFER_SIZE];
    ngx_log_debug0(NGX_LOG_DEBUG_HTTP, r->connection->log, 0,
                   "http read discarded body");
    ngx_memzero(&b, sizeof(ngx_buf_t));
    b.temporary = 1;
    for ( ;; ) {
        if (r->headers_in.content_length_n == 0) {
            r->read_event_handler = ngx_http_block_reading;
            return NGX_OK;
        }
        if (!r->connection->read->ready) {
            return NGX_AGAIN;
        }
        size = (size_t) ngx_min(r->headers_in.content_length_n,
                                NGX_HTTP_DISCARD_BUFFER_SIZE);//key!!
        n = r->connection->recv(r->connection, buffer, size);//key!!

在22行,会调用ngx_min函数进行比较,会取content_length_n和NGX_HTTP_DISCARD_BUFFER_SIZE里较小的值。由于content_length_n为一个负数,这里的比较是进行有符号比较,因此,最小值是content_length_n。由于在比较时,ecx存放后8位,edx存放前8位,随后会将ecx的值交给size,这个size是极大值,比buffer的4096大很多,在进行recv的时候,就会接收一个超过buffer大小的数据,造成栈溢出。

总而言之就是,一个整数溢出导致的栈溢出。

安装漏洞环境

ubuntu 安装

获取nginx源码

sudo apt-get update -y
sudo apt-get install -y libssl-dev gcc make wget tar
wget https://github.com/nginx/nginx/archive/release-1.4.0.tar.gz && tar xfv release-1.4.0.tar.gz

build

Without stack cookies:

./auto/configure --without-http_rewrite_module --without-http_gzip_module
vim Makefile
# Add '-fno-stack-protector' to the CFLAGS
make -j4
sudo make install

With stack cookies:

./auto/configure --without-http_rewrite_module --without-http_gzip_module
make -j4
sudo make install

run

sudo /usr/local/nginx/sbin/nginx -g "daemon off;"

在浏览器输入localhost,可以看到如下界面,说明nginx服务开启成功了

在这里插入图片描述

docker安装

参考:https://github.com/m4drat/CVE-2013-2028-Exploit

这时访问localhost:8081可以出现上面一样的界面,因为docker-compose里将80端口映射到8081了。

metasploit框架

搜索漏洞

search cve-2013-2028

使用exp

use exploit/linux/http/nginx_chunked_size

这里没写全,可以看msf的文档复现。

触发漏洞

可以参考这个链接来触发漏洞:
https://github.com/mudongliang/LinuxFlaw/tree/master/CVE-2013-2028

网站上现有的exp

github:

  • (python实现,代码量相对多,文档详细)https://github.com/kitctf/nginxpwn
  • (python实现,代码量少,文档不详细,但代码易懂,我主要基于这个复现)https://github.com/m4drat/CVE-2013-2028-Exploit
  • (ruby实现,也有文档,但不太详细)https://github.com/danghvu/nginx-1.4.0
  • (not stable):https://github.com/tachibana51/CVE-2013-2028-x64-bypass-ssp-and-pie-PoC

exploit db:

  • CVE-2013-2028:https://www.exploit-db.com/exploits/32277
破落之实
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
nginx-1.4.0:用于CVE-2013-2028的分析
05-14
nginx-1.4.0 用于的 漏洞利用:exp-nginx.rb 二进制文件(用于rop构建):nginx
Nginx溢出分析 - CVE-2013-2028
dengzhasong7076的博客
01-11 1046
分析 + 运行环境: ubuntu x64 + centos 环境搭建: https://github.com/kitctf/nginxpwn 影响版本: nginx 1.3.9 - 1.4.0 主要以此来学习BROP: 可以不需要知道该应用程序的源代码或者任何二进制代码进行攻击,类似SQL盲注。 基础铺垫 Nginx是一个轻量级的Web服务器,它还具有反向代理、电子邮件代理等功能,并且...
phpmyadmin漏洞汇总
最新发布
m0_64481831的博客
05-27 1050
phpmyadmin是一个以PHP为基础,以web方式架构在网站主机上的mysql的数据库管理工具,让管理者可用web接口管理mysql数据库,便于远端管理mysql数据库。
CVE-2023-21839 【vulhub weblogic 漏洞
weixin_65722679的博客
07-05 708
CVE-2023-21839 【vulhub weblogic 漏洞
CVE-2023-21839 WebLogic Server RCE分析
Jay
04-18 796
在后续的进行lookup操作之前会检查 JNDI 环境是否已正确配置以访问远程资源,主要是对jndiEnvironment和remoteJNDIName的检测,如果在if中的任何一个条件为真,那么将调用对象的lookup方法,如果 if 语句中的所有条件都为假,则会进入检查cachedReferent字段的阶段。weblogic10 及以后的版本,不能直接使用server/lib 目录下的 weblogic.jar 了,需要手动执行一个命令生成手动生成 wlfullclient.jar。
最全phpmyadmin漏洞汇总
热门推荐
kracer的博客
12-04 3万+
目录 一、phpMyAdmin简介 二、查看phpmyadmin版本 三、历史漏洞及poc利用 1、万能密码直接登入 2、CVE-2009-1151:远程代码执行 3、CVE-2012-5159:任意PHP代码攻击 4、CVE-2013-3238:远程PHP代码执行 5、WooYun-2016-199433:任意文件读取漏洞 6、CVE-2014 -8959:本地文件包含 7、CVE-2016-5734 :后台命令执行RCE 8、CVE-2017-1000499 跨站请求伪造 9、C
CVE-2013-6117:CVE-2013-6117
04-29
CVE-2013-6117 $ ./CVE-2013-6117 -hOptions: -h, --help display help information -f, --filename File containing list of IP addresses -t, --target Target IP -n, --threads No of concurrent threads ...
溢出漏洞CVE-2020-8423
qq_45595732的博客
08-03 2352
TP-Link WR841N 溢出漏洞CVE-2020-8423) 第一次搞iot相关,对mips的汇编还不是很熟,先熟悉一下搭环境,之后再去理解原理,这里记录一下环境搭建流程。虽然iot-vulhub已经都做好了docker,但在自己的时候还是多多少少会有些问题。 IoT-vulhub基础环境搭建 #安装pip $ curl -s https://bootstrap.pypa.io/get-pip.py | python3 #安装docker #命令行输docker,根据提示安装就行 # 启动
二进制漏洞挖掘之溢出-开启RELRO
ylcangel的专栏
10-18 9864
二进制漏洞-溢出 github地址:https://github.com/ylcangel/exploits/tree/master/stack_overflow 你可以用于学习,但不能用于商用(如出书、以盈利为目的的课程、文章等),转载需标明出处。 测试平台 系统:CentOS release 6.10 (Final)、32位 内核版本:Linux 2.6.32-754.10.1.e...
[超详细]溢出漏洞原理实例讲解
Breeze的博客
05-03 2万+
[超详细]通过实例讲解溢出漏洞 文章目录[超详细]通过实例讲解溢出漏洞代码简介分析程序整体执行流程程序执行细节及空间变化溢出通过溢出控制程序执行结果通过溢出插入代码 本篇文章通过《0day安全:软件漏洞分析技术》书中第二章中所用到的一个程序的溢出漏洞,以及使用OD一步步调试来学习溢出完整的原理。程序虽然简单,但在一些基础薄弱的人眼中还是无法理解,所以导致很多新手到了这里就被“...
phpMyadmin各版本漏洞
aiquan9342的博客
10-04 1088
一: 影响版本:3.5.x < 3.5.8.1 and 4.0.0 < 4.0.0-rc3 ANYUN.ORG   概述:PhpMyAdmin存在PREGREPLACEEVAL漏洞   利用模块:exploit/multi/http/phpmyadminpregreplace CVE: CVE-2013-3238 二: 影响版本:phpMyAdmin v3.5....
【严重】Grafana Azure AD环境身份认证绕过漏洞
murphysec的博客
07-17 852
Grafana 是一个跨平台、开源的数据可视化网络应用平台。Azure AD 是由微软提供的一种云身份验证和访问管理服务。在 Azure AD 中,多个用户可以拥有相同的电子邮件地址。攻击者可以创建一个与目标 Grafana 账户相同的电子邮件地址的恶意帐户,并且在 Azure AD 中配置支持多租户。当 Grafana 使用 Azure AD 进行身份验证时,由于没有对 Azure AD 租户邮箱的唯一性进行验证,攻击者可以通过身份验证,接管目标用户的 Grafana 账户。
CVE-2023-21839漏洞(基于vulhub)
weixin_63960760的博客
09-11 847
由于Weblogic IIOP/T3协议存在缺陷,当IIOP/T3协议开启时,允许未经身份验证的攻击者通过IIOP/T3协议网络访问攻击存在安全风险的WebLogic Server,漏洞利用成功WebLogic Server可能被攻击者接管执行任意命令导致服务器沦陷或者造成严重的敏感数据泄露。
CVE漏洞-CVE-2023-32233 NetFilter权限提升
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
06-06 3229
Netfilter是Linux 内核中的网络数据包处理框架(iptables)通过各种规则和过滤器,基于数据包的来源、目标地址、协议类型、端口号等信息,控制网络流量和数据包的转发和处理具体,详情请见。
漏洞分析之CVE-2010-2883(溢出
4ct10n
07-02 3144
Adobe Acrobat和Reader都是美国Adobe公司开发的非常流行的PDF文件阅读器。 基于Window和Mac OS X的Adobe Reader和Acrobat 9.4之前的9.x版本,8.2.5之前的8.x版本的CoolType.dll中存在基于的缓冲区溢出漏洞。远程攻击者可借助带有TTF字体Smart INdependent Glyphlets (SING)表格中超长字段的PDF文
CVE-2013-2768 漏洞利用
07-28
很抱歉,但是根据提供的引用内容,我没有找到关于CVE-2013-2768漏洞的相关信息。请确认是否有其他引用内容提供了相关信息。如果有,请提供相关引用内容,我将尽力回答您的问题。 #### 引用[.reference_title] - *1* ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

破落之实

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值