2023-2024-1 20232808《Linux内核原理与分析》第十二周作业

竞态条件漏洞实验

实验简介

竞态条件是指多个线程同时访问或者操作同一块数据，运行的结果依赖于不同线程访问数据的顺序。如果一个拥有root权限的程序存在竞态条件漏洞的话，攻击者可以通过运行一个平行线程与漏洞程序竞争，以此改变该程序的行为。
在本实验中学生将利用竞态条件漏洞获得root权限。除了攻击之外，学生还将学习如何制定保护方案抵御该类攻击。

实验内容

1.实验准备

由于本实验环境开启了针对竞态条件攻击的保护，所以需要先关掉保护。该选项意味着全域可写sticky位开启的文件夹是不能作为链接目标所在文件夹的。(如果发现不能修改权限，请关掉当前的实验环境，启动新环境来进行此次实验。本次实验的环境可能和您之前保存的环境不同。为保证实验的多样性，实验楼为不同的实验配备不同的实验环境。)

$ sudo su
$ echo 0 > /proc/sys/fs/protected_symlinks
$ exit

2.漏洞检测

/home/shiyanlou/seed 下新建 vulp.c

$ cd /home/shiyanlou/seed
$ sudo vi vulp.c

/* vulp.c */
#include <stdio.h>
#include <string.h>
#include <unistd.h>
#define DELAY 10000

int main()
{
    char * fn = "/tmp/XYZ";
    char buffer[60];
    FILE *fp;
    long int i;
    /* get user input */
    scanf("%50s", buffer );
    if(!access(fn, W_OK)){
        for(i=0; i < DELAY; i++){
            int a = i^2;
        }
        fp = fopen(fn, "a+");
        fwrite("\n", sizeof(char), 1, fp);
        fwrite(buffer, sizeof(char), strlen(buffer), fp);
        fclose(fp);
    }
    else printf("No permission \n");
}

实验2: 保护机制A：重复

想要避免竞态条件的发生并不轻松，因为先检查再访问这个模式在很多程序中都是需要的。比起想办法移除漏洞，换个思路，我们可以增加更多的竞态条件，这样就能减小攻击者攻击成功的概率了。该机制的基础思想是重复access和fopen函数的次数。
修改 vulp.c 代码如下：

#include <stdio.h>
#include <unistd.h>
#define DELAY 10000

int main()
{
    char * fn = "/tmp/XYZ";
    char buffer[60];
    FILE *fp;
    long int i;
    /* get user input */
    scanf("%50s", buffer );
    if(!access(fn, W_OK)){
        if(!access(fn, W_OK)){
            /*嵌套n层*/
            fp = fopen(fn, "a+");
            fwrite("\n", sizeof(char), 1, fp);
            fwrite(buffer, sizeof(char), strlen(buffer), fp);
            fclose(fp);
        }
        else printf("No permission \n");
    }
    else printf("No permission \n");
}

实验3: 保护机制B：最小权限原则

该程序的根本问题就在于它违反了最小权限原则，程序员认识到运行这个程序的用户可能权利过大，所以引入access函数进行限制，但也同时引入了竞态条件的隐患。

更好的方法是使用setuid系统调用暂时禁止root权限，当需要时再恢复。

代码如下：

#include <stdio.h>
#include <unistd.h>
#define DELAY 10000
    
int main()
{
    char * fn = "/tmp/XYZ";
    char buffer[60];
    FILE *fp;
    long int i;
    /* get user input */
    scanf("%50s", buffer );
        
    uid_t euid = geteuid(); 
    seteuid(getuid());
        
    for (i=0; i < DELAY; i++){
            int a = i^2;
    }
        
    if (fp = fopen(fn, "a+")){
        fwrite("\n", sizeof(char), 1, fp);
        fwrite(buffer, sizeof(char), strlen(buffer), fp);
        fclose(fp);
    }
    else printf("No permission \n");
        
    seteuid(euid);
}

实验4: 保护机制C：Ubuntu内置方案

开启保护机制的命令如下：

$ sudo su
$ echo 1 > /proc/sys/fs/protected_symlinks
$ exit

chatgpt