使用C++开发备份程序
使用C++开发备份程序
提问于 2011-01-19 16:31:50
我正在做一门安全课程的作业,要求我找到一个备份程序(setuid)的4个漏洞,并使用它们中的每一个来获得root访问权限(在装有旧版本的gcc等的虚拟linux机器上)。应该有一个缓冲区溢出和一个格式字符串。
有人能帮我指出这4个漏洞在哪里吗?我认为缓冲区溢出可能发生在copyFile()中。
以下是backup.c的代码:(可以在"backup foo“或"backup restore foo”中调用)
#include <stdio.h>
#include <stdlib.h>
#include <sys/types.h>
#include <unistd.h>
#include <sys/wait.h>
#include <string.h>
#include <sys/types.h>
#include <sys/stat.h>
#define CMD_BACKUP 0
#define CMD_RESTORE 1
#define BACKUP_DIRECTORY "/usr/share/backup"
#define FORBIDDEN_DIRECTORY "/etc"
static
int copyFile(char* src, char* dst)
{
char buffer[3072]; /* 3K ought to be enough for anyone*/
unsigned int i, len;
FILE *source, *dest;
int c;
source = fopen(src, "r");
if (source == NULL) {
fprintf(stderr, "Failed to open source file\n");
return -1;
}
i = 0;
c = fgetc(source);
while (c != EOF) {
buffer[i] = (unsigned char) c;
c = fgetc(source);
i++;
}
len = i;
fclose(source);
dest = fopen(dst, "w");
if (dest == NULL) {
fprintf(stderr, "Failed to open destination file\n");
return -1;
}
for(i = 0; i < len; i++)
fputc(buffer[i], dest);
fclose(dest);
return 0;
}
static
int restorePermissions(char* target)
{
pid_t pid;
int status;
char *user, *userid, *ptr;
FILE *file;
char buffer[64];
mode_t mode;
// execute "chown" to assign file ownership to user
pid = fork();
// error
if (pid < 0) {
fprintf(stderr, "Fork failed\n");
return -1;
}
// parent
if (pid > 0) {
waitpid(pid, &status, 0);
if (WIFEXITED(status) == 0 || WEXITSTATUS(status) < 0)
return -1;
}
else {
// child
// retrieve username
user = getenv("USER");
// retrieve corresponding userid
file = fopen("/etc/passwd", "r");
if (file == NULL) {
fprintf(stderr, "Failed to open password file\n");
return -1;
}
userid = NULL;
while (!feof(file)) {
if (fgets(buffer, sizeof(buffer), file) != NULL) {
ptr = strtok(buffer, ":");
if (strcmp(ptr, user) == 0) {
strtok(NULL, ":"); // password
userid = strtok(NULL, ":"); // userid
ptr = strtok(NULL, ":"); // group
*ptr = '\0';
break;
}
}
}
if (userid != NULL)
execlp("/bin/chown", "/bin/chown", userid, target, NULL);
// reached only in case of error
return -1;
}
mode = S_IRUSR | S_IWUSR | S_IEXEC;
chmod(target, mode);
return 0;
}
static
void usage(char* parameter)
{
char newline = '\n';
char output[96];
char buffer[96];
snprintf(buffer, sizeof(buffer),
"Usage: %.60s backup|restore pathname%c", parameter, newline);
sprintf(output, buffer);
printf(output);
}
int main(int argc, char* argv[])
{
int cmd;
char *path, *ptr;
char *forbidden = FORBIDDEN_DIRECTORY;
char *src, *dst, *buffer;
struct stat buf;
if (argc != 3) {
usage(argv[0]);
return 1;
}
if (strcmp("backup", argv[1]) == 0) {
cmd = CMD_BACKUP;
}
else if (strcmp("restore", argv[1]) == 0) {
cmd = CMD_RESTORE;
} else {
usage(argv[0]);
return 1;
}
path = argv[2];
// prevent access to forbidden directory
ptr = realpath(path, NULL);
if (ptr != NULL && strstr(ptr, forbidden) == ptr) {
fprintf(stderr, "Not allowed to access target/source %s\n", path);
return 1;
}
// set up paths for copy operation
buffer = malloc(strlen(BACKUP_DIRECTORY) + 1 + strlen(path) + 1);
if (buffer == NULL) {
fprintf(stderr, "Failed to allocate memory\n");
return 1;
}
if (cmd == CMD_BACKUP) {
src = path;
dst = buffer;
strcpy(dst, BACKUP_DIRECTORY);
strcat(dst, "/");
strcat(dst, path);
}
else {
src = buffer;
strcpy(src, BACKUP_DIRECTORY);
strcat(src, "/");
strcat(src, path);
dst = path;
// don't overwrite existing file if we don't own it
if (stat(dst, &buf) == 0 && buf.st_uid != getuid()) {
fprintf(stderr, "Not your file: %s\n", dst);
return 1;
}
}
// perform actual backup/restore operation
if (copyFile(src, dst) < 0)
return 1;
// grant user access to restored file
if (cmd == CMD_RESTORE) {
if (restorePermissions(path) < 0)
return 1;
}
return 0;
}还有一些有用的东西:
// one way to invoke backup
//system("/usr/local/bin/backup backup foo");
// another way
args[0] = TARGET; args[1] = "backup";
args[2] = "foo"; args[3] = NULL;
env[0] = NULL;
if (execve(TARGET, args, env) < 0)
fprintf(stderr, "execve failed.\n");
exit(0);回答 5
Stack Overflow用户
回答已采纳
发布于 2011-01-19 17:41:27
- 格式漏洞存在于
usage()中-sprintf()和printf()采用从argv[0]生成的格式字符串,攻击者可以对其进行操作以包含他们想要的任何内容。 - 主要的缓冲区溢出是由Péter Török突出显示的缓冲区溢出;在扫描代码的安全漏洞时,任何未经检查的缓冲区都充满了这样的明目张胆的注释,这是自找麻烦的路标。< code >H29
- 环境变量USER -它可以被不择手段的人操纵,但它是否真的能给您带来任何好处还有待商议。您可以将其设置为“根”,然后尝试的“chown”命令将使用它被告知使用的名称。
- 在
chown命令和chmod()系统调用之间存在一种竞争。目前还不清楚如何将这一点与其他问题分开利用--但它可能会给你一些可以利用的东西。
包含两次<sys/types.h>是多余的,但在其他方面是无害的。在POSIX2008中,大多数地方甚至根本不需要它。
Stack Overflow用户
发布于 2011-01-19 16:41:40
我不是安全专家,但这里的评论
char buffer[3072]; /* 3K ought to be enough for anyone*/说明:-)所以正如你所猜测的,这里存在缓冲区溢出的可能性。缓冲区实际上用于读取中输入文件的内容。因此,请尝试使用长度超过3K的文件。
现在,因为buffer是本地的,所以它被分配到堆栈上。因此,通过溢出,您可以覆盖堆栈的内容,包括调用方堆栈帧内的返回地址和局部变量。据我所知,这只是理论,但我不能给你更多的实际细节。
Stack Overflow用户
发布于 2011-01-19 16:42:55
您不能再利用Linux上的缓冲区溢出,因为SE-Linux通过中止有问题的程序和Wand-addresss随机化来防止恶意或意外的代码执行。
您需要首先关闭这些程序,但这首先需要root访问权限。
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/4733169
复制相关文章
相似问题
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号