文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

怎么进行CVE-2017-16943-Exim-UAF漏洞分析

2023-06-19 12:22

关注

本篇文章为大家展示了怎么进行CVE-2017-16943-Exim-UAF漏洞分析,内容简明扼要并且容易理解,绝对能使你眼前一亮,通过这篇文章的详细介绍希望你能有所收获。

0x00 背景介绍

Exim 是剑桥大学开发的一款基于 GPL 协议的开放源代码软件,其主要用于连接互联网 Unix 系统的消息传输代理(MTA)服务器

2017年11月25日,Exim官方修复了一处use-after-free的漏洞,由台湾安全公司DEVCORE的研究人员Meh发现,CVE编号为:CVE-2017-16943,并公布了一份POC,但是根据我们的分析跟进,该POC必须将配置文件中的dkim开启才能达到控制EIP,造成进程崩溃的效果。

2017年12月11日,Meh在DEVCORE官网公布该漏洞的具体细节和默认配置下的POC。

360 CERT对此进行验证,证明可以造成远程代码执行,影响范围广,危害严重。

0x01 漏洞攻击面影响

1、影响面

根据360CERT全网资产检索平台,截止2017年12月15日检索的结果表明全球有超过一百万台服务器上运行着Exim,全球的影响分布图如下:

怎么进行CVE-2017-16943-Exim-UAF漏洞分析

2、影响版本

该漏洞影响开启chunk设置的4.88和4.89版本

3、修复版本

360 CERT建议相关用户及时下载官方的修复补丁,关闭chunk设置或者更新到4.90版本。

0x02 漏洞详情

1.   开启dkim配置下控制rip

exim一共管理着三种堆,定义成枚举类型的全局变量:

怎么进行CVE-2017-16943-Exim-UAF漏洞分析

POOL_MAIN:表示主要的分配的堆块,可以被释放,消息的处理会在该堆池中分配。

POOL_PERM:表示分配的内存是永久的,直到进程结束才会被释放,保存一些需要共享的信息,例如配置信息,host信息,在使用这块堆池分配前会将store_pool改为POOL_PERM,再调用store_get()。

POOL_SEARCH:保存搜索的数据,在search_tidyup、search_open、internal_search_find函数中被使用。

Exim会循环读取消息,并动态分配内存,申请内存的函数包括:expand_string()、store_get()、string_xxx(),store_get_perm()会使用perm pool。

将配置文件/usr/exim/configure中的“control =dkim_disable_verify”注释,可以触发进程崩溃,进而控制rip,分析原因如下:

在receive_msg函数中会判断是否开启dkim,如果开启就会进入dkim_exim_verify_init函数:

怎么进行CVE-2017-16943-Exim-UAF漏洞分析

dkim_exim_verify_init函数里在perm pool中申请内存:

怎么进行CVE-2017-16943-Exim-UAF漏洞分析

使得在堆中分配一块内存,同时不改变current_block[0]中的值,后续对消息处理时会在main pool中分配堆块,分配一块0x2010大小的堆块,释放后,由于之前perm pool分配的堆块,使得释放的堆块不和top chunk合并,变成一个unsorted bin,此时fd和bk指向main arena区域。再进一次store extend后,通过store_get会获得指向main arena的指针,之后memcpy对main arena进行写操作,后续的free操作会造成崩溃,RIP会变成填充的数据。

具体的细节如下图:

怎么进行CVE-2017-16943-Exim-UAF漏洞分析

2.   默认配置下控制rip

在devcore公司公布具体细节后,我们对默认配置下如何控制rip进行了分析。其实原理和开启dkim配置类似,需要在top_chunk前分配一块在使用的堆块,防止后面释放的堆块和top_chunk合并,作者的poc是利用DATA来发送一个足够大的数据来扩展堆块,循环多次后,期间释放了之前的堆块,变成了一个大的unsorted bin块供后续分配。此时top_chunk之前就有了正在使用的堆块,再利用BDAT命令达到控制rip的目的。

具体控制rip的流程如下:

怎么进行CVE-2017-16943-Exim-UAF漏洞分析

0x03 漏洞利用验证

我们根据meh的poc和思路编写了exp,通过控制rip跳转到fflush(stdout),并覆盖_IO_FILE结构覆盖成攻击代码,将_IO_jump_t 虚表结构体中的(_IO_sync_t, __sync)覆盖成system函数地址,来执行攻击代码。

Exp攻击效果图:

怎么进行CVE-2017-16943-Exim-UAF漏洞分析

0x04 官方补丁

怎么进行CVE-2017-16943-Exim-UAF漏洞分析

官方补丁判断要释放的堆块是否为最后一个堆块,如果不是的话,就不能释放,这样就达不到UAF的条件,无法触发漏洞。

上述内容就是怎么进行CVE-2017-16943-Exim-UAF漏洞分析,你们学到知识或技能了吗?如果还想学到更多技能或者丰富自己的知识储备,欢迎关注编程网行业资讯频道。

阅读原文内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     807人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     351人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     314人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     433人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     221人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯