xfocus logo xfocus title
首页 焦点原创 安全文摘 安全工具 安全漏洞 焦点项目 焦点论坛 关于我们
Xcon English Version

glibc 2.3.5 的一些新安全特性


创建时间:2005-08-23
文章属性:原创
文章提交:alert7 (alert7_at_xfocus.org)

glibc 2.3.5 的一些新安全特性

by alert7 < alert7@xfocus.org >
主页: http://www.xfocus.org/  
发布:2005年8月23日

0 - 前言
1 - 测试格式化溢出相关函数
2 - 缓冲区溢出相关函数
3 - 测试堆溢出相关函数
4 - glibc 2.3.5上的堆溢出真的没戏了吗?


★★ 0: 前言

glibc 软件又有一些新的安全特性了,挖个坑,抛个砖 .希望有玉咂过来 :) .

在features.h中有说明
_FORTIFY_SOURCE    If set to numeric value > 0 additional security
            measures are defined, according to level.

★★ 1: 测试格式化溢出相关函数

[alert7@FC4 glibc]$ cat test_format1.c
#define _FORTIFY_SOURCE 2

#include <stdio.h>
int main(int argc, char *argv[])
{

        printf(argv[1]);
        printf("\n");

        return 0;
}
[alert7@FC4 glibc]$ gcc -o test_format1 test_format1.c -O2
这里编译一定要加 -O2 优化选项

[alert7@FC4 glibc]$ ./test_format1 %n
*** %n in writable segment detected ***
Aborted (core dumped)

[alert7@FC4 glibc]$ ./test_format1 %1000$
*** invalid %N$ use detected ***
Aborted (core dumped)

/******************************************************/
[alert7@FC4 glibc]$ ./test_format1 %10$n%n
%n
[alert7@FC4 glibc]$ ./test_format1 %10$n%n%n
*** %n in writable segment detected ***
%nAborted (core dumped)
这里有点奇怪,%10$n%n好象等价于 %%n

/******************************************************/

在定义_FORTIFY_SOURCE为2的情况下
以下printf函数可以实现无缝的替换为__xxxprintf_check这些安全函数

sprintf
vsprintf
snprintf
vsnprintf
printf
fprintf
vprintf
vfprintf

gets是否会被替换为安全函数取决于编译gets(p)时候该P是否能得到object大小
#define gets(__str) \
  ((__bos (__str) == (size_t) -1)                \
   ? (gets) (__str) : __gets_chk (__str, __bos (__str)))



★★ 2: 缓冲区溢出相关函数

由于strcpy、strcat等函数的一些特性,没有办法做到无缝的替换为安全函数,glibc 2.3.5提供了一套
更加安全的缓冲区操作参数。但是,假如程序员注意到了需要安全编程的话,strcpy等不安全的函数就
不应该会用错了。

extern void *__memcpy_chk (void *__restrict __dest,
               const void *__restrict __src, size_t __len,
               size_t __destlen) __THROW;
extern void *__memmove_chk (void *__dest, const void *__src, size_t __len,
                size_t __destlen) __THROW;
extern void *__mempcpy_chk (void *__restrict __dest,
                const void *__restrict __src, size_t __len,
                size_t __destlen) __THROW;
extern void *__memset_chk (void *__dest, int __ch, size_t __len,
               size_t __destlen) __THROW;
extern char *__strcpy_chk (char *__restrict __dest,
               const char *__restrict __src,
               size_t __destlen) __THROW;
extern char *__stpcpy_chk (char *__restrict __dest,
               const char *__restrict __src,
               size_t __destlen) __THROW;
extern char *__strncpy_chk (char *__restrict __dest,
                const char *__restrict __src,
                size_t __len, size_t __destlen) __THROW;
extern char *__strcat_chk (char *__restrict __dest,
               const char *__restrict __src,
               size_t __destlen) __THROW;
extern char *__strncat_chk (char *__restrict __dest,
                const char *__restrict __src,
                size_t __len, size_t __destlen) __THROW;

[alert7@FC4 glibc]$ cat test_strcpy.c
#define _FORTIFY_SOURCE 2
#include <stdio.h>

int main(int argc, char *argv[])
{

        char buf[10];
        char *p=buf;
        strcpy(p,argv[1]);

        return 0;
}

[alert7@FC4 glibc]$ gcc -O2 -o test_strcpy test_strcpy.c
[alert7@FC4 glibc]$ ./test_strcpy AAAAAAAAAAAAAAAAAAAAAAAAAAAAA
Segmentation fault (core dumped)

缓冲区溢出相关函数是不能无缝替换的.




★★ 3: 测试堆溢出相关函数

calloc, malloc, free, realloc - Allocate and free dynamic memory
在glibc 2.3.5上作了更多的安全检查,默认就会检测
1:double free
2:invalid pointer
3:memory corruption

malloc_printerr (check_action, "corrupted double-linked list", P);
malloc_printerr (check_action, "realloc(): invalid pointer", oldmem);
malloc_printerr (check_action, "malloc(): memory corruption (fast)"
malloc_printerr (check_action, "malloc(): memory corruption",
malloc_printerr (check_action, "free(): invalid pointer", mem);

导致堆溢出在glibc 2.3.5上将会变得更加难.

下面的演示程序来自backend < ptmalloc2的堆溢出利用初探 >
https://www.xfocus.net/bbs/index.php?act=ST&f=2&t=28202&page=all#entry94342

[alert7@redhat9 alert7]$gcc -o ex2 ex2.c -lbfd -liberty
[alert7@redhat9 alert7]$ ./ex2
input:D3"h`?·T????D3"????
END.
sh-2.05b$ id
uid=500(alert7) gid=500(alert7) groups=500(alert7)
在 redhat9上测试没有问题

[alert7@FC4 glibc]$ ./ex2
input:D3"ü_?·è????D3"????
*** glibc detected *** ./heapvul: free(): invalid next size (fast): 0x0962a008 ***
======= Backtrace: =========
/lib/libc.so.6[0x786424]
/lib/libc.so.6(__libc_free+0x77)[0x78695f]
./heapvul[0x80485e0]
/lib/libc.so.6(__libc_start_main+0xc6)[0x737de6]
./heapvul[0x8048431]
======= Memory map: ========
00705000-0071f000 r-xp 00000000 fd:00 715286     /lib/ld-2.3.5.so
0071f000-00720000 r-xp 00019000 fd:00 715286     /lib/ld-2.3.5.so
00720000-00721000 rwxp 0001a000 fd:00 715286     /lib/ld-2.3.5.so
00723000-00847000 r-xp 00000000 fd:00 715287     /lib/libc-2.3.5.so
00847000-00849000 r-xp 00124000 fd:00 715287     /lib/libc-2.3.5.so
00849000-0084b000 rwxp 00126000 fd:00 715287     /lib/libc-2.3.5.so
0084b000-0084d000 rwxp 0084b000 00:00 0
0090b000-00914000 r-xp 00000000 fd:00 162706     /lib/libgcc_s-4.0.0-20050520.so.1
00914000-00915000 rwxp 00009000 fd:00 162706     /lib/libgcc_s-4.0.0-20050520.so.1
00e4d000-00e4e000 r-xp 00e4d000 00:00 0
08048000-08049000 r-xp 00000000 fd:00 552827     /home/alert7/glibc/heapvul
08049000-0804a000 rw-p 00000000 fd:00 552827     /home/alert7/glibc/heapvul
0962a000-0964b000 rw-p 0962a000 00:00 0          [heap]
b7e00000-b7e21000 rw-p b7e00000 00:00 0
b7e21000-b7f00000 ---p b7e21000 00:00 0
b7fa6000-b7fa8000 rw-p b7fa6000 00:00 0
b7faf000-b7fb0000 rw-p b7faf000 00:00 0
bfc9b000-bfcb0000 rw-p bfc9b000 00:00 0          [stack]
Aborted (core dumped)
在FC4(glibc 2.3.5)上就成功不了了



★★ 4: glibc 2.3.5上的堆溢出真的没戏了吗?

期待您的大作. ^_^

也欢迎到 xfocus 的技术研究版 探讨
https://www.xfocus.net/bbs/index.php?act=SF&f=2


★★ 5: 参考
glibc 2.3.5 src

---EOF