从 posix_spawn() 函数窥探漏洞逃逸
posix_spawn() 函数是用来在Linux上创建子进程的,头文件是 #include <spawn.h>
,语法如下:
#include <spawn.h>
int posix_spawn(pid_t *pid, const char *path,
const posix_spawn_file_actions_t *file_actions,
const posix_spawnattr_t *attrp,
char *const argv[], char *const envp[]);
我们可以看到一共要传入六个参数,语法参数说明如下:
- 子进程 pid(pid 参数指向一个缓冲区,该缓冲区用于返回新的子进程的进程ID)
- 可执行文件的路径 path(其实就是可以调用某些系统命令,只不过要指定其完整路径)
- file_actions 参数指向生成文件操作对象,该对象指定要在子对象之间执行的与文件相关的操作
- attrp 参数指向一个属性对象,该对象指定创建的子进程的各种属性。
- argv 和 envp 参数指定在子进程中执行的程序的参数列表和环境
详细文档可以通过 man posix_spawn
查看相关文档:
既然我们知道了这些参数,我们该如何利用这个呢?
我们先给一个 Demo 看看:
/*
* @Author: python
* @Date: 2020-01-12 17:28:31
* @Last Modified by: python
* @Last Modified time: 2020-01-12 17:32:28
*/
#include <stdlib.h>
#include <stdio.h>
#include <string.h>
#include <unistd.h>
#include <spawn.h>
#include <sys/wait.h>
/*
int posix_spawn(pid_t *pid, const char *path,
const posix_spawn_file_actions_t *file_actions,
const posix_spawnattr_t *attrp,
char *const argv[], char *const envp[]);
*/
extern char **environ;
void run_cmd(char *cmd)
{
pid_t pid;
char *argv[] = {"sh", "-c", cmd, NULL};
int status;
printf("Run command: %s\n", cmd);
status = posix_spawn(&pid, "/bin/sh", NULL, NULL, argv, environ);
if (status == 0) {
printf("Child pid: %i\n", pid);
if (waitpid(pid, &status, 0) != -1) {
printf("Child exited with status %i\n", status);
} else {
perror("waitpid");
}
} else {
printf("posix_spawn: %s\n", strerror(status));
}
}
int main(int argc, char* argv[])
{
run_cmd(argv[1]);
return 0;
}
运行结果如下图所示:
我们从结果可以看到,/bin/sh
的效果就类似于 sh 脚本中开头的 #!/bin/sh
,指定了系统命令 sh 的路径,argv
就类似于 shell 脚本中要执行的代码,比如这里执行 sh -c cmd
,而 cmd 参数由用户输入。
我们以 xman 第三界冬令营选拔赛 shellmaster 为例,由于环境已经宕机了,所以我找出题人拿到了源码,有兴趣的可以尝试用源码重新复现一下环境。
import os
import sys
import time
blacklist = [
"$",
"-",
"_",
"{",
"}",
"*",
"2",
"4"
]
def handler():
print "Oops, are you a master?"
os._exit(0)
print "Welcome to shell master!"
print "Start to wake up the shell ..."
time.sleep(3)
sys.stdout.flush()
while True:
sys.stdout.write("master@ubuntu:~$ ")
sys.stdout.flush()
cmd = raw_input().upper()
'''
for i in blacklist:
if i in cmd:
print "blacklist: "+i
handler()
if len(cmd) > 16:
print "len:"+len(cmd)
handler()
'''
cmd += " 2>&1"
print os.system(cmd)
我们从源码可以看到,输入的命令中所有字母都被替换成了大写字母,所以你如果通过 nc 连接之后,会发现无论输入什么命令,你会发现输入的所有字母都被替换成了大写字母,没法进行任何操作。
在这里,我们不得不提到一个有意思的东西,$0
。
这个 $0
是什么东西呢,我们可以尝试打印一下:
我们可以看出,$0
事实上就是调用当前的 shell 了,是不是都是这样呢?
我们尝试自己写个例子看看:
我们可以看到,执行并且测试以后,发现输出的结果正好是当前脚本的名字,当前的 $0
就是 ./test.sh
。
我们从以上这个例子可以看出,在 shell 脚本中,通过使用 $0
就可以获取到脚本的名字或者说脚本本身。
既然这玩意能直接调用当前的 shell,利用方式就有很多种了。
我们可以通过 posix_spawn
这个函数,创建一个子进程,这个子进程可以是系统的默认的命令(进程实质上就是一个程序嘛),这个子进程如果调用的是当前的 shell,我们就可以直接利用这个 shell 来获取相关权限的信息,从而实现逃逸这一过程。
我们可以尝试通过系统的一些方法传入 $0
来实现逃逸这一过程。
那我们既然已经知道了这一点,我们就可以尝试去
那么什么时候会调用
posix_spawn
函数?由于
posix_spawn
函数是C
语言中system.c
创建线程默认调用的功能模块。
C 源码官方下载:http://ftp.gnu.org/gnu/libc/,定义 system 的 c 文件在 glibc/sysdeps/posix/system.c
,当然我们也可以在 https://code.woboq.org/userspace/glibc/sysdeps/posix/system.c.html 在线查看。
到这里为止,我们基本思路已经很清楚了,我们可以通过使用 system 模块来调用 posix_spawn 函数来创建子进程,让这个子进程调用当前的 shell,也就是使用 $0
,然后获取到相关的权限信息,实现逃逸这一过程。我们可以直接写相关的 C 程序来解决。
而在 python 中,os.system 是通过调用 C 语言中的 system 函数来实现其功能的:
详细文档可以参考:https://docs.python.org/3/library/os.html
于是我们就可以进行如下更加简便的操作:
- 先调用 os.system 调用 C 语言中的 system 函数
- 然后执行 system 模块中的 posix_spawn 函数
- 最后调用当前的 shell
这道题目如果没有屏蔽掉黑名单的话,还是有其他解题思路的,可以直接通过通配符来解决问题,payload 如下:
/???/???/?38?
从 posix_spawn() 函数窥探漏洞逃逸的更多相关文章
- Memcached‘do_item_get’函数安全漏洞
漏洞名称: Memcached‘do_item_get’函数安全漏洞 CNNVD编号: CNNVD-201401-175 发布时间: 2014-01-15 更新时间: 2014-01-15 危害等级: ...
- Memcached‘process_bin_delete’函数安全漏洞
漏洞名称: Memcached‘process_bin_delete’函数安全漏洞 CNNVD编号: CNNVD-201401-174 发布时间: 2014-01-15 更新时间: 2014-01-1 ...
- PHP ‘scan’函数拒绝服务漏洞
漏洞名称: PHP ‘scan’函数拒绝服务漏洞 CNNVD编号: CNNVD-201311-464 发布时间: 2013-12-06 更新时间: 2013-12-06 危害等级: 中危 漏洞类型 ...
- Linux Kernel‘ieee80211_radiotap_iterator_init()’函数拒绝服务漏洞
漏洞名称: Linux Kernel‘ieee80211_radiotap_iterator_init()’函数拒绝服务漏洞 CNNVD编号: CNNVD-201312-041 发布时间: 2013- ...
- WordPress ‘get_allowed_mime_types’函数安全漏洞(2)
漏洞名称: WordPress ‘get_allowed_mime_types’函数安全漏洞 CNNVD编号: CNNVD-201309-169 发布时间: 2013-09-13 更新时间: 2013 ...
- WordPress ‘get_allowed_mime_types’函数安全漏洞
漏洞名称: WordPress ‘get_allowed_mime_types’函数安全漏洞 CNNVD编号: CNNVD-201309-170 发布时间: 2013-09-13 更新时间: 2013 ...
- Linux kernel ‘fib6_add_rt2node’函数安全漏洞
漏洞名称: Linux kernel ‘fib6_add_rt2node’函数安全漏洞 CNNVD编号: CNNVD-201307-265 发布时间: 2013-07-16 更新时间: 2013-07 ...
- Linux kernel ‘ip6_sk_dst_check’函数拒绝服务漏洞
漏洞名称: Linux kernel ‘ip6_sk_dst_check’函数拒绝服务漏洞 CNNVD编号: CNNVD-201307-070 发布时间: 2013-07-05 更新时间: 2013- ...
- Linux Kernel KVM 'apic_get_tmcct()'函数拒绝服务漏洞
漏洞版本: Linux Kernel 漏洞描述: Bugtraq ID:64270 CVE ID:CVE-2013-6367 Linux Kernel是一款开源的操作系统. Linux KVM LAP ...
随机推荐
- JavaScript跨域问题
通过实现Ajax通信的主要限制,来源于跨域安全策略.默认情况下,XHR对象只能访问与包含它的页面位于同一个域中的资源.这种安全策略可以预防某些恶意行为.但是,实现合理的跨域请求对于开发某些浏览器应用程 ...
- css的一些小问题
这是今天整理的笔记一.属性书写顺序: Formatting Model(布局方式.位置) > Box Model(尺寸) > Typographic(文本相关) > Visual(视 ...
- Python--day47--mysql索引注意事项
- codeforces 616D
题意:给你n个数,找出一个最大的区间,满足:不同的数值个数不超过k; //我开始又看错题了. 以为是找出一个最大区间,里面的数的最大值不超过k; 思路:利用一个窗口滑动,左端点表示当前位置,右端点表示 ...
- codeforce 378 div 2 F —— Drivers Dissatisfaction (最小生成树,LCA,倍增)
官方题解: If you choose any n - 1 roads then price of reducing overall dissatisfaction is equal to min(c ...
- canvas.toDataURL 由于跨域报错的解决方法
关于canvas.toDataURL 由于跨域报错的解决方法 用过canvas,都知道toDataURL这个方法真好用,不仅合成图片用到它,压缩图片也用到它.但有一个问题,就是图片源不能跨域,不然会报 ...
- C# 获取 PC 序列号
在 C++ 需要使用 GetSystemFirmwareTable 的方法来获得 PC 的序列号,需要写的代码很多,但是在 C# 可以使用 WMI 来拿到序列号 首先是安装 System.Manage ...
- 2018.11.9浪在ACM集训队第四次测试赛
2018.11.9浪在ACM集训队第四次测试赛 整理人:朱远迪 A 生活大爆炸版 石头剪刀布 参考博客:[1] 刘凯 B 联合权值 参考博客: [1]田玉康 ...
- Linux 内核热插拔事件产生
一个热插拔事件是一个从内核到用户空间的通知, 在系统配置中有事情已经改变. 无论何 时一个 kobject 被创建或销毁就产生它们. 这样事件被产生, 例如, 当一个数字摄像头 使用一个 USB 线缆 ...
- 面试题 —— Ajax的基本原理总结
Ajax 的全称是Asynchronous JavaScript and XML(异步的JavaScript 和 XML),其中,Asynchronous 是 异步 的意思,它有别于传统web开发中采 ...