glibc 2.3.5 的一些新安全特性

glibc 2.3.5 的一些新安全特性

创建时间：2005-08-23

文章属性：原创

文章提交：alert7 (alert7_at_xfocus.org)

glibc 2.3.5 的一些新安全特性

by alert7 < alert7@xfocus.org >

主页: http://www.xfocus.org/

发布：2005年8月23日

0 - 前言

1 - 测试格式化溢出相关函数

2 - 缓冲区溢出相关函数

3 - 测试堆溢出相关函数

4 - glibc 2.3.5上的堆溢出真的没戏了吗?

★★ 0: 前言

glibc 软件又有一些新的安全特性了,挖个坑,抛个砖 .希望有玉咂过来 :) .

在features.h中有说明

_FORTIFY_SOURCE If set to numeric value > 0 additional security

measures are defined, according to level.

★★ 1: 测试格式化溢出相关函数

[alert7@FC4 glibc]$ cat test_format1.c

#define _FORTIFY_SOURCE 2

#include <stdio.h>

int main(int argc, char *argv[])

{

printf(argv[1]);

printf("\n");

return 0;

}

[alert7@FC4 glibc]$ gcc -o test_format1 test_format1.c -O2

这里编译一定要加 -O2 优化选项

[alert7@FC4 glibc]$ ./test_format1 %n

*** %n in writable segment detected ***

Aborted (core dumped)

[alert7@FC4 glibc]$ ./test_format1 %1000$

*** invalid %N$ use detected ***

Aborted (core dumped)

/******************************************************/

[alert7@FC4 glibc]$ ./test_format1 %10$n%n

%n

[alert7@FC4 glibc]$ ./test_format1 %10$n%n%n

*** %n in writable segment detected ***

%nAborted (core dumped)

这里有点奇怪，%10$n%n好象等价于 %%n

/******************************************************/

在定义_FORTIFY_SOURCE为2的情况下

以下printf函数可以实现无缝的替换为__xxxprintf_check这些安全函数

sprintf

vsprintf

snprintf

vsnprintf

printf

fprintf

vprintf

vfprintf

gets是否会被替换为安全函数取决于编译gets(p)时候该P是否能得到object大小

#define gets(__str) ((__bos (__str) == (size_t) -1) ? (gets) (__str) : __gets_chk (__str, __bos (__str)))

★★ 2: 缓冲区溢出相关函数

由于strcpy、strcat等函数的一些特性，没有办法做到无缝的替换为安全函数，glibc 2.3.5提供了一套

更加安全的缓冲区操作参数。但是，假如程序员注意到了需要安全编程的话，strcpy等不安全的函数就

不应该会用错了。

extern void *__memcpy_chk (void *__restrict __dest,

const void *__restrict __src, size_t __len,

size_t __destlen) __THROW;

extern void *__memmove_chk (void *__dest, const void *__src, size_t __len,

size_t __destlen) __THROW;

extern void *__mempcpy_chk (void *__restrict __dest,

const void *__restrict __src, size_t __len,

size_t __destlen) __THROW;

extern void *__memset_chk (void *__dest, int __ch, size_t __len,

size_t __destlen) __THROW;

extern char *__strcpy_chk (char *__restrict __dest,

const char *__restrict __src,

size_t __destlen) __THROW;

extern char *__stpcpy_chk (char *__restrict __dest,

const char *__restrict __src,

size_t __destlen) __THROW;

extern char *__strncpy_chk (char *__restrict __dest,

const char *__restrict __src,

size_t __len, size_t __destlen) __THROW;

extern char *__strcat_chk (char *__restrict __dest,

const char *__restrict __src,

size_t __destlen) __THROW;

extern char *__strncat_chk (char *__restrict __dest,

const char *__restrict __src,

size_t __len, size_t __destlen) __THROW;

[alert7@FC4 glibc]$ cat test_strcpy.c

#define _FORTIFY_SOURCE 2

#include <stdio.h>

int main(int argc, char *argv[])

{

char buf[10];

char *p=buf;

strcpy(p,argv[1]);

return 0;

}

[alert7@FC4 glibc]$ gcc -O2 -o test_strcpy test_strcpy.c

[alert7@FC4 glibc]$ ./test_strcpy AAAAAAAAAAAAAAAAAAAAAAAAAAAAA

Segmentation fault (core dumped)

缓冲区溢出相关函数是不能无缝替换的.

★★ 3: 测试堆溢出相关函数

calloc, malloc, free, realloc - Allocate and free dynamic memory

在glibc 2.3.5上作了更多的安全检查,默认就会检测

1:double free

2:invalid pointer

3:memory corruption

malloc_printerr (check_action, "corrupted double-linked list", P);

malloc_printerr (check_action, "realloc(): invalid pointer", oldmem);

malloc_printerr (check_action, "malloc(): memory corruption (fast)"

malloc_printerr (check_action, "malloc(): memory corruption",

malloc_printerr (check_action, "free(): invalid pointer", mem);

导致堆溢出在glibc 2.3.5上将会变得更加难.

下面的演示程序来自backend < ptmalloc2的堆溢出利用初探 >

https://www.xfocus.net/bbs/index.php?act=ST&f=2&t=28202&page=all#entry94342

[alert7@redhat9 alert7]$gcc -o ex2 ex2.c -lbfd -liberty

[alert7@redhat9 alert7]$ ./ex2

input:D3"h`?·T????D3"????

END.

sh-2.05b$ id

uid=500(alert7) gid=500(alert7) groups=500(alert7)

在 redhat9上测试没有问题

[alert7@FC4 glibc]$ ./ex2

input:D3"ü_?·è????D3"????

*** glibc detected *** ./heapvul: free(): invalid next size (fast): 0x0962a008 ***

======= Backtrace: =========

/lib/libc.so.6[0x786424]

/lib/libc.so.6(__libc_free+0x77)[0x78695f]

./heapvul[0x80485e0]

/lib/libc.so.6(__libc_start_main+0xc6)[0x737de6]

./heapvul[0x8048431]

======= Memory map: ========

00705000-0071f000 r-xp 00000000 fd:00 715286 /lib/ld-2.3.5.so

0071f000-00720000 r-xp 00019000 fd:00 715286 /lib/ld-2.3.5.so

00720000-00721000 rwxp 0001a000 fd:00 715286 /lib/ld-2.3.5.so

00723000-00847000 r-xp 00000000 fd:00 715287 /lib/libc-2.3.5.so

00847000-00849000 r-xp 00124000 fd:00 715287 /lib/libc-2.3.5.so

00849000-0084b000 rwxp 00126000 fd:00 715287 /lib/libc-2.3.5.so

0084b000-0084d000 rwxp 0084b000 00:00 0

0090b000-00914000 r-xp 00000000 fd:00 162706 /lib/libgcc_s-4.0.0-20050520.so.1

00914000-00915000 rwxp 00009000 fd:00 162706 /lib/libgcc_s-4.0.0-20050520.so.1

00e4d000-00e4e000 r-xp 00e4d000 00:00 0

08048000-08049000 r-xp 00000000 fd:00 552827 /home/alert7/glibc/heapvul

08049000-0804a000 rw-p 00000000 fd:00 552827 /home/alert7/glibc/heapvul

0962a000-0964b000 rw-p 0962a000 00:00 0 [heap]

b7e00000-b7e21000 rw-p b7e00000 00:00 0

b7e21000-b7f00000 ---p b7e21000 00:00 0

b7fa6000-b7fa8000 rw-p b7fa6000 00:00 0

b7faf000-b7fb0000 rw-p b7faf000 00:00 0

bfc9b000-bfcb0000 rw-p bfc9b000 00:00 0 [stack]

Aborted (core dumped)

在FC4(glibc 2.3.5)上就成功不了了

★★ 4: glibc 2.3.5上的堆溢出真的没戏了吗?

期待您的大作. ^_^

也欢迎到 xfocus 的技术研究版 探讨

https://www.xfocus.net/bbs/index.php?act=SF&f=2

★★ 5: 参考

glibc 2.3.5 src

---EOF

• ·在PHP.MVC中上传文件
• ·DataStructure---LinkLis
• ·十一逛街怎样穿“抓眼球” 打扮_美丽顾问
• ·我学习ASP.Net的过程和对初学者的一些建议
• ·工装哈伦裤 入秋好穿必败款 打扮_美丽顾问
• ·专题引言－－我的心是FM调频
• ·用java获得广播地址
• ·c snippet 1
• ·Coldfusion MVC模式探索
• ·Factory Method模式在框架中的运用