日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

最近sudo發(fā)現(xiàn)了一個嚴(yán)重的緩存溢出提權(quán)漏洞CVE-2021-3156，這很正常。不正常的是這個漏洞已經(jīng)潛伏了10年之久，為什么10年才發(fā)現(xiàn)呢?如果用常規(guī)的測試方法需要多久才能發(fā)現(xiàn)?對此有人進(jìn)行了Fuzz測試，請和蟲蟲一起學(xué)習(xí)一下過程。

概述

在本文試驗(yàn)中，使用了AFL模糊器。AFL模糊器(American Fuzzy lop)是一種面向安全的模糊器，AFL使用新型編譯時檢測和遺傳算法，自動發(fā)現(xiàn)干凈有趣的測試用例，這些用例會在目標(biāo)二進(jìn)制文件中觸發(fā)新的內(nèi)部狀態(tài)。用這樣的方法可以大大改善了模糊代碼的功能覆蓋范圍。

AFL模糊器生成的緊湊的合成語料庫還可以用于復(fù)現(xiàn)其他測試人員更耗費(fèi)人力或資源的測試方案。

測試準(zhǔn)備

sudo是setuid二進(jìn)制文件，以root用戶隨機(jī)輸入運(yùn)行潛在錯誤的二進(jìn)制文件不是最安全的方法。為了避免任何潛在的意外系統(tǒng)損壞，此設(shè)置試驗(yàn)中使用了虛擬機(jī)環(huán)境。并選擇最近一個涉及漏洞sudo版本sudo 1.9.5.p1。

AFL旨在將輸出生成到文件或stdout中，但是要模糊命令行參數(shù)。因此，需要自行修補(bǔ)sudo，忽略實(shí)際的argv并將其改為從stdin。

AFL提供了一個可以提供這樣功能的argv-fuzz-inl.h：

示例argv-fuzz-inl.h從stdin讀取NUL分隔的參數(shù)。注意，sudo在單個二進(jìn)制文件中同時提供了sudo和sudoedit實(shí)用程序，因此要測試兩者，還需要向fuzzer公開argv[0]。輸入的代碼argv-fuzz-inl.h不會執(zhí)行此操作，因此需要對其進(jìn)行修復(fù)：

 
 
 
 

  
  
  
  
int rc = 0; /* start at argv[0] */
 
 
 
 

sudo本身補(bǔ)丁很簡單，只需在main的開頭連接AFL_INIT_ARGV即可：

 
 
 
 

  
  
  
  
--- a/src/sudo.c
  
  
  
  
+++ b/src/sudo.c
  
  
  
  
@@ -66,6 +66,8 @@
  
  
  
  
#include "sudo_plugin.h"
  
  
  
  
#include "sudo_plugin_int.h"
  
  
  
  

  
  
  
  
+#include "argv-fuzz-inl.h"
  
  
  
  
+
  
  
  
  
/*
  
  
  
  
* Local variables
  
  
  
  
*/
  
  
  
  
@@ -149,6 +151,7 @@ sudo_dso_public int main(int argc, char *argv[], char *envp[]);
  
  
  
  
int
  
  
  
  
main(int argc, char *argv[], char *envp[])
  
  
  
  
{
  
  
  
  
+AFL_INIT_ARGV();
  
  
  
  
int nargc, status = 0;
  
  
  
  
char **nargv, **env_add, **user_info;
 
 
 
 

快速測試表明sudo/sudoedit選擇無法從stdin中傳遞的測試用例正常工作，因?yàn)槌鲇谀撤N原因，它使用了__progname。一個快速解決方法：

 
 
 
 

  
  
  
  
--- a/lib/util/progname.c
  
  
  
  
+++ b/lib/util/progname.c
  
  
  
  
@@ -83,7 +83,7 @@ void
  
  
  
  
initprogname2(const char *name, const char * const * allowed)
  
  
  
  
{
  
  
  
  
int i;
  
  
  
  
-# ifdef HAVE___PROGNAME
  
  
  
  
+# if 0
  
  
  
  
extern const char *__progname;
  
  
  
  

  
  
  
  
if (__progname != NULL && *__progname != '\0')
 
 
 
 

最后，設(shè)置無需等待密碼輸入，因此只需使其無條件失敗即可：

 
 
 
 

  
  
  
  
--- a/plugins/sudoers/auth/sudo_auth.c
  
  
  
  
+++ b/plugins/sudoers/auth/sudo_auth.c
  
  
  
  
@@ -259,7 +259,7 @@ verify_user(struct passwd *pw, char *prompt, int validated,
  
  
  
  
"--disable-authentication configure option."));
  
  
  
  
debug_return_int(-1);
  
  
  
  
}
  
  
  
  
-
  
  
  
  
+return 0;
  
  
  
  
/* Enable suspend during password entry. */
  
  
  
  
sigemptyset(&sa.sa_mask);
  
  
  
  
sa.sa_flags = SA_RESTART;
 
 
 
 

由于某種原因afl-gcc工具無法正常工作，因此使用了基于LLVM的工具。需要重寫CC為./configure：

 
 
 
 

  
  
  
  
CC=AFL-clang-fast ./configure
 
 
 
 

測試中使用了兩個簡單的測試用例，調(diào)用了兩個可用的實(shí)用程序：

 
 
 
 

  
  
  
  
echo -ne 'sudo\0ls\0\0' > case1
  
  
  
  
echo -ne 'sudoedit\0test\0\0' > case2
 
 
 
 

準(zhǔn)備就緒后，以并行模式啟動了四個AFL實(shí)例。半小時后，出現(xiàn)了一個crash：

結(jié)果：

確實(shí)在sudoedit -s是崩潰了。假設(shè)并行運(yùn)行了4個實(shí)例，大約2小時的CPU時間。通過2小時的CPU時間測試，就可以在setuid中找到嚴(yán)重的安全漏洞。

總結(jié)

為什么在十年中，才能發(fā)現(xiàn)這樣的嚴(yán)重問題，其他重要的基礎(chǔ)系統(tǒng)是否是不是也存在類似類似的潛伏漏洞。不知道之前有沒有人對sudo做過模糊測試?或者社區(qū)大意了，只測試過sudo，而遺漏了不太引人注意的sudoedit了。

但是無論如何，需要指出的是，使用快速使用模糊測試程序可以發(fā)現(xiàn)廣泛使用的實(shí)用程序中仍然存在嚴(yán)重的錯誤。

網(wǎng)頁標(biāo)題：AFL實(shí)戰(zhàn)：測試sudo提權(quán)漏洞CVE-2021-3156
本文URL：http://www.5511xx.com/article/dpphgsh.html