分享
 
 
 

glibc 2.3.5 的一些新安全特性

王朝other·作者佚名  2006-01-10
窄屏简体版  字體: |||超大  

glibc 2.3.5 的一些新安全特性

创建时间:2005-08-23

文章属性:原创

文章提交:alert7 (alert7_at_xfocus.org)

glibc 2.3.5 的一些新安全特性

by alert7 < alert7@xfocus.org >

主页: http://www.xfocus.org/

发布:2005年8月23日

0 - 前言

1 - 测试格式化溢出相关函数

2 - 缓冲区溢出相关函数

3 - 测试堆溢出相关函数

4 - glibc 2.3.5上的堆溢出真的没戏了吗?

★★ 0: 前言

glibc 软件又有一些新的安全特性了,挖个坑,抛个砖 .希望有玉咂过来 :) .

在features.h中有说明

_FORTIFY_SOURCE If set to numeric value > 0 additional security

measures are defined, according to level.

★★ 1: 测试格式化溢出相关函数

[alert7@FC4 glibc]$ cat test_format1.c

#define _FORTIFY_SOURCE 2

#include <stdio.h>

int main(int argc, char *argv[])

{

printf(argv[1]);

printf("\n");

return 0;

}

[alert7@FC4 glibc]$ gcc -o test_format1 test_format1.c -O2

这里编译一定要加 -O2 优化选项

[alert7@FC4 glibc]$ ./test_format1 %n

*** %n in writable segment detected ***

Aborted (core dumped)

[alert7@FC4 glibc]$ ./test_format1 %1000$

*** invalid %N$ use detected ***

Aborted (core dumped)

/******************************************************/

[alert7@FC4 glibc]$ ./test_format1 %10$n%n

%n

[alert7@FC4 glibc]$ ./test_format1 %10$n%n%n

*** %n in writable segment detected ***

%nAborted (core dumped)

这里有点奇怪,%10$n%n好象等价于 %%n

/******************************************************/

在定义_FORTIFY_SOURCE为2的情况下

以下printf函数可以实现无缝的替换为__xxxprintf_check这些安全函数

sprintf

vsprintf

snprintf

vsnprintf

printf

fprintf

vprintf

vfprintf

gets是否会被替换为安全函数取决于编译gets(p)时候该P是否能得到object大小

#define gets(__str) ((__bos (__str) == (size_t) -1) ? (gets) (__str) : __gets_chk (__str, __bos (__str)))

★★ 2: 缓冲区溢出相关函数

由于strcpy、strcat等函数的一些特性,没有办法做到无缝的替换为安全函数,glibc 2.3.5提供了一套

更加安全的缓冲区操作参数。但是,假如程序员注意到了需要安全编程的话,strcpy等不安全的函数就

不应该会用错了。

extern void *__memcpy_chk (void *__restrict __dest,

const void *__restrict __src, size_t __len,

size_t __destlen) __THROW;

extern void *__memmove_chk (void *__dest, const void *__src, size_t __len,

size_t __destlen) __THROW;

extern void *__mempcpy_chk (void *__restrict __dest,

const void *__restrict __src, size_t __len,

size_t __destlen) __THROW;

extern void *__memset_chk (void *__dest, int __ch, size_t __len,

size_t __destlen) __THROW;

extern char *__strcpy_chk (char *__restrict __dest,

const char *__restrict __src,

size_t __destlen) __THROW;

extern char *__stpcpy_chk (char *__restrict __dest,

const char *__restrict __src,

size_t __destlen) __THROW;

extern char *__strncpy_chk (char *__restrict __dest,

const char *__restrict __src,

size_t __len, size_t __destlen) __THROW;

extern char *__strcat_chk (char *__restrict __dest,

const char *__restrict __src,

size_t __destlen) __THROW;

extern char *__strncat_chk (char *__restrict __dest,

const char *__restrict __src,

size_t __len, size_t __destlen) __THROW;

[alert7@FC4 glibc]$ cat test_strcpy.c

#define _FORTIFY_SOURCE 2

#include <stdio.h>

int main(int argc, char *argv[])

{

char buf[10];

char *p=buf;

strcpy(p,argv[1]);

return 0;

}

[alert7@FC4 glibc]$ gcc -O2 -o test_strcpy test_strcpy.c

[alert7@FC4 glibc]$ ./test_strcpy AAAAAAAAAAAAAAAAAAAAAAAAAAAAA

Segmentation fault (core dumped)

缓冲区溢出相关函数是不能无缝替换的.

★★ 3: 测试堆溢出相关函数

calloc, malloc, free, realloc - Allocate and free dynamic memory

在glibc 2.3.5上作了更多的安全检查,默认就会检测

1:double free

2:invalid pointer

3:memory corruption

malloc_printerr (check_action, "corrupted double-linked list", P);

malloc_printerr (check_action, "realloc(): invalid pointer", oldmem);

malloc_printerr (check_action, "malloc(): memory corruption (fast)"

malloc_printerr (check_action, "malloc(): memory corruption",

malloc_printerr (check_action, "free(): invalid pointer", mem);

导致堆溢出在glibc 2.3.5上将会变得更加难.

下面的演示程序来自backend < ptmalloc2的堆溢出利用初探 >

https://www.xfocus.net/bbs/index.php?act=ST&f=2&t=28202&page=all#entry94342

[alert7@redhat9 alert7]$gcc -o ex2 ex2.c -lbfd -liberty

[alert7@redhat9 alert7]$ ./ex2

input:D3"h`?·T????D3"????

END.

sh-2.05b$ id

uid=500(alert7) gid=500(alert7) groups=500(alert7)

在 redhat9上测试没有问题

[alert7@FC4 glibc]$ ./ex2

input:D3"ü_?·è????D3"????

*** glibc detected *** ./heapvul: free(): invalid next size (fast): 0x0962a008 ***

======= Backtrace: =========

/lib/libc.so.6[0x786424]

/lib/libc.so.6(__libc_free+0x77)[0x78695f]

./heapvul[0x80485e0]

/lib/libc.so.6(__libc_start_main+0xc6)[0x737de6]

./heapvul[0x8048431]

======= Memory map: ========

00705000-0071f000 r-xp 00000000 fd:00 715286 /lib/ld-2.3.5.so

0071f000-00720000 r-xp 00019000 fd:00 715286 /lib/ld-2.3.5.so

00720000-00721000 rwxp 0001a000 fd:00 715286 /lib/ld-2.3.5.so

00723000-00847000 r-xp 00000000 fd:00 715287 /lib/libc-2.3.5.so

00847000-00849000 r-xp 00124000 fd:00 715287 /lib/libc-2.3.5.so

00849000-0084b000 rwxp 00126000 fd:00 715287 /lib/libc-2.3.5.so

0084b000-0084d000 rwxp 0084b000 00:00 0

0090b000-00914000 r-xp 00000000 fd:00 162706 /lib/libgcc_s-4.0.0-20050520.so.1

00914000-00915000 rwxp 00009000 fd:00 162706 /lib/libgcc_s-4.0.0-20050520.so.1

00e4d000-00e4e000 r-xp 00e4d000 00:00 0

08048000-08049000 r-xp 00000000 fd:00 552827 /home/alert7/glibc/heapvul

08049000-0804a000 rw-p 00000000 fd:00 552827 /home/alert7/glibc/heapvul

0962a000-0964b000 rw-p 0962a000 00:00 0 [heap]

b7e00000-b7e21000 rw-p b7e00000 00:00 0

b7e21000-b7f00000 ---p b7e21000 00:00 0

b7fa6000-b7fa8000 rw-p b7fa6000 00:00 0

b7faf000-b7fb0000 rw-p b7faf000 00:00 0

bfc9b000-bfcb0000 rw-p bfc9b000 00:00 0 [stack]

Aborted (core dumped)

在FC4(glibc 2.3.5)上就成功不了了

★★ 4: glibc 2.3.5上的堆溢出真的没戏了吗?

期待您的大作. ^_^

也欢迎到 xfocus 的技术研究版 探讨

https://www.xfocus.net/bbs/index.php?act=SF&f=2

★★ 5: 参考

glibc 2.3.5 src

---EOF

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
2023年上半年GDP全球前十五强
 百态   2023-10-24
美众议院议长启动对拜登的弹劾调查
 百态   2023-09-13
上海、济南、武汉等多地出现不明坠落物
 探索   2023-09-06
印度或要将国名改为“巴拉特”
 百态   2023-09-06
男子为女友送行,买票不登机被捕
 百态   2023-08-20
手机地震预警功能怎么开?
 干货   2023-08-06
女子4年卖2套房花700多万做美容:不但没变美脸,面部还出现变形
 百态   2023-08-04
住户一楼被水淹 还冲来8头猪
 百态   2023-07-31
女子体内爬出大量瓜子状活虫
 百态   2023-07-25
地球连续35年收到神秘规律性信号,网友:不要回答!
 探索   2023-07-21
全球镓价格本周大涨27%
 探索   2023-07-09
钱都流向了那些不缺钱的人,苦都留给了能吃苦的人
 探索   2023-07-02
倩女手游刀客魅者强控制(强混乱强眩晕强睡眠)和对应控制抗性的关系
 百态   2020-08-20
美国5月9日最新疫情:美国确诊人数突破131万
 百态   2020-05-09
荷兰政府宣布将集体辞职
 干货   2020-04-30
倩女幽魂手游师徒任务情义春秋猜成语答案逍遥观:鹏程万里
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案神机营:射石饮羽
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案昆仑山:拔刀相助
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案天工阁:鬼斧神工
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案丝路古道:单枪匹马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:与虎谋皮
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:李代桃僵
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:指鹿为马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:小鸟依人
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:千金买邻
 干货   2019-11-12
 
推荐阅读
 
 
 
>>返回首頁<<
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有