GHOST漏洞原理简单分析

简介:

继 ShellShock漏洞之后,Linux又爆出一重大漏洞。网上各种关于漏洞检查和修复的文章,但很难找到一篇讲述这个漏洞原理的。在阅读网上流传的测试代码后,写一下个人对这个漏洞的简单分析。

这应该是漏洞发布的网址,里面有最详细的解释,本人才疏学浅,只看了少部分,想深入了解的可以直接阅读,如本文有错误,请指正。

http://www.openwall.com/lists/oss-security/2015/01/27/9

漏洞简介:

GHOST是Linux glibc库上的一个安全漏洞,CVE编号为CVE-2015-0235。这是一个缓冲区溢出漏洞,攻击者可以利用它远程执行代码。第一个受影响的版本是GNU C库的glibc-2.2。

其实这个漏洞很早就被发现,在2013年5月21号(在glibc-2.17和glibc-2.18发布之间)已经修复,只是一直没被重视,。目前Qualys公司的安全人员开发了一套完整的针对Exim邮件服务器的攻击PoC,测试中发现可以绕过所有现有保护 ( ASLR,PIE和NX )。且可以攻破32位和64位的机器。这个漏洞回到了人们的视线

所以,如果你的系统采用新的glibc是没有这个漏洞,比如fedora20。之所以现在漏洞被重视,是因为很多系统都没使用新版本的glibc,服务器系统稳定性高于一切,不会很积极把组建升级到新版本,特别是glibc这种基础库。

漏洞原理:

什么是缓冲区溢出:

缓冲区溢出是c程序中经常出现的情况,比如遍历数组时没有控制范围,就会出现段错误。这就是缓冲区溢出,显示段错误是因为系统拦截了越界的操作。

但是,如果系统因为某种原因没有拦截越界操作,那就可能成为一个漏洞。心脏流血就是一个类似的漏洞,但是它是越界读。如果是越界写,就可能覆盖掉不该覆盖的内存段。如果这块内存是数据,那就会造成数据错误。如果这块内存是一个代码,那就可能引起执行错误,精心设计引起的溢出会让系统执行攻击者的代码

漏洞在哪里产生:

漏洞是glibc中的__nss_hostname_digits_dot()函数导致的,漏洞可以通过gethostbyname *()函数来触发,本地和远程均可行。

gethostbyname*()函数的作用是解析域名。事实上这类函数已经被淘汰。但是很多代码依然依赖这些函数。

我们分析一下网上的这个检测代码:

01 #include <netdb.h>
02 #include <stdio.h>
03 #include <stdlib.h>
04 #include <string.h>
05 #include <errno.h>
06   
07 #define CANARY "in_the_coal_mine"
08   
09 struct {           //测试的结构体 
10   char buffer[1024];           //缓冲区 
11   char canary[sizeof(CANARY)];       //内存区,通常紧接着buffer。 
12 } temp = { "buffer", CANARY };
13   
14 int main(void) {
15   struct hostent resbuf;           //主机信息的结构体 
16   struct hostent *result;
17   int herrno;
18   int retval;
19   
20   /*** strlen (name) = size_needed - sizeof (*host_addr) - sizeof (*h_addr_ptrs) - 1; ***/
21   //对于这个公式还有些疑问
22   size_t len = sizeof(temp.buffer) - 16*sizeof(unsigned char) - 2*sizeof(char *) - 1;
23   char name[sizeof(temp.buffer)];
24   memset(name, '0', len);
25   name[len] = '\0';
26   
27   retval = gethostbyname_r(name, &resbuf, temp.buffer, sizeof(temp.buffer), &result, &herrno);
28   
29   if (strcmp(temp.canary, CANARY) != 0) {     //如果tmp.carry被覆盖了,说明溢出成功。 
30     puts("vulnerable");
31     exit(EXIT_SUCCESS);
32   }
33   if (retval == ERANGE) {                     //函数返回了失败,说明指针越界后被拦截并返回错误码 
34     puts("not vulnerable");
35     exit(EXIT_SUCCESS);
36   }
37   puts("should not happen");           //未溢出,这是不可能的。
38   exit(EXIT_FAILURE);
39 }

这里要先讲一下gethostbyname_r函数,它的参数比较特别。

resbuf是个hostent结构体,结构体中有好几个指针,指向写着主机信息的内存区。而这个内存区就是代码中的tmp.buffer

name 是要查询的域名,它会被发送到DNS来查询IP等信息。但是这样并不容易引起溢出

还有一个坑是如果name输入的是IP地址,则不会去DNS查询,而是直接写入到hostent指向的内存区中。这里因为没有进行合法性判断,所以输入奇怪的IP,比如检测代码中的一串0。它会被直接写入tmp.buffer,一同写入的还包括解析的主机信息。所以就很容易超过tmp.buffer的长度,造成溢出。

通过gethostbyname()函数或gethostbyname2()函数,将可能产生一个堆上的缓冲区溢出。经由gethostbyname_r()或gethostbyname2_r(),则会触发调用者提供的缓冲区溢出(理论上说,调用者提供的缓冲区可位于堆,栈,.data节和.bss节等。但是,目前还没有看到这样的情况)。测试代码就是用的gethostbyname_r()。

因为有对IP的判断,所以溢出的内容(name)有一些限制。

  1. 它的第一个字符必须是一个数字。
  2. 它的最后一个字符不能是”.”(点)。
  3. 它必须只包含数字和点(我们称之为“digits-and-dots”要求)。
  4. 它必须足够长,以至于缓冲区溢出。例如,不可重入gethostbyname *()函数最初分配缓冲的调用malloc(1024)(“1 kb”的要求)。
  5. 它必须被成功解析为一个IPv4地址inet_aton(),或作为一个IPv6地址inet_pton()方法。

对此,这个溢出可以对内存块写数字( ‘0 ‘…’ 9′) ,点( “.”) ,和一个终止空字符(‘\0’ ) 。

看上去这个溢出还是有不少限制的,不知道安全人员会通过怎么样巧妙的方式来攻击。

总结:

缓冲区溢出是Linux乃至C类语言很忌惮的东西,它引起的结果其实是让系统把数据当成代码执行。这和SQL注入差不多,但是实现方式不同:

  • SQL注入是因为SQL语言分析的问题,语法中就没把数据和代码分离好。
  • 缓冲区溢出是因为操作内存代码的漏洞。

转载请注明:旅途@KryptosX » GHOST漏洞原理简单分析

目录
相关文章
|
8月前
|
安全 NoSQL API
【漏洞复现】YApi NoSQL注入导致远程命令执行漏洞
YApi是一个API管理工具。在其1.12.0版本之前,存在一处NoSQL注入漏洞,通过该漏洞攻击者可以窃取项目Token,并利用这个Token执行任意Mock脚本,获取服务器权限。
567 1
|
开发工具 C语言 数据安全/隐私保护
免杀工具 -- FourEye
免杀工具 -- FourEye
686 0
免杀工具 -- FourEye
|
5天前
|
安全 Shell Linux
记录VulnHub 靶场——Escalate_Linux渗透测试过程
本文档描述了一次靶场环境的搭建和渗透测试过程。首先,提供了靶机环境的下载链接,并建议在VMware或VirtualBox中以NAT模式或仅主机模式导入。接着,通过Kali Linux扫描发现靶机IP,并用Nmap扫描开放端口,识别出80、111、139、445、2049等端口。在80端口上找到一个shell.php文件,通过它发现可以利用GET参数传递cmd命令。
9 0
|
11月前
|
安全 数据安全/隐私保护
亿邮电子邮件系统远程命令执行漏洞 漏洞复现
亿邮电子邮件系统远程命令执行漏洞 漏洞复现
447 0
|
11月前
|
开发框架 安全 PHP
Thinkphp5 5.0.22/5.1.29 远程代码执行漏洞 漏洞复现
Thinkphp5 5.0.22/5.1.29 远程代码执行漏洞 漏洞复现
533 0
|
11月前
|
开发框架 安全 PHP
ThinkPHP5 5.0.23 远程代码执行漏洞 漏洞复现
ThinkPHP5 5.0.23 远程代码执行漏洞 漏洞复现
849 0
|
12月前
|
安全 Java fastjson
Log4j2漏洞复现&原理&补丁绕过
Log4j2漏洞复现&原理&补丁绕过
|
数据采集 安全 测试技术
入门兵器谱,测试相关软件系列——AppScan漏洞检测软件
 AppScan,即 AppScan standard edition。其安装在 Windows 操作系统上,可以对网站等 Web 应用进行自动化的应用安全扫描和测试。
524 0
入门兵器谱,测试相关软件系列——AppScan漏洞检测软件
|
开发框架 安全 .NET
IIS6.0目录解析漏洞原理/复现
目录解析漏洞原理 IIS6.0版本存在目录解析漏洞 , ,asp格式命名的文件夹,其目录下的所有文件都会被IIS当做asp文件来解析 漏洞复现 环境准备 Windows 2003系统 , IIS 6.0 服务
204 0
IIS6.0目录解析漏洞原理/复现
|
安全 PHP 数据安全/隐私保护
thinkphp网站有漏洞怎么解决修复
2019年1月14日消息,thinkphp又被爆出致命漏洞,可以直接远程代码执行,getshell提权写入网站木马到网站根目录,甚至直接提权到服务器,该漏洞影响版本ThinkPHP 5.0、ThinkPHP 5.0.10、ThinkPHP5.0.12、ThinkPHP5.0.13、ThinkPHP5.0.23、thinkphp 5.0.22版本。
588 0
thinkphp网站有漏洞怎么解决修复