一、研究幽灵漏洞及其变种(包括但不限于V1-V5)的攻击原理
1.1 基本漏洞原理(V1)
幽灵漏洞的基本原理是由于glibc库中的gethostbyname()函数在处理域名解析时,调用了__nss_hostname_digits_dots()函数存在缓冲区溢出漏洞。
具体来说,__nss_hostname_digits_dots()使用一个固定大小(1024字节)的栈缓冲区来存储解析后的数字和点字符。但在复制用户输入的域名字符串时,没有进行足够的长度检查,导致如果域名过长,就会发生栈缓冲区溢出。
攻击者可以构造一个超过1024字节的精心设计的域名字符串作为gethostbyname()的输入,在复制到栈缓冲区时就会覆盖相邻的内存区域,包括局部变量和返回地址。这样攻击者就可以控制程序执行流,实现任意代码执行。
2.1 变种攻击原理(V2-V5)
虽然V1漏洞被修补后,但研究人员发现__nss_hostname_digits_dots()函数对其他格式的字符串解析也存在缺陷,可以绕过补丁继续利用缓冲区溢出漏洞。主要变种包括:
V2: 带#字符的IPv6地址字符串
V3: 不合法的IPv4地址字符串
V4: 带%字符的域名字符串
V5: 以@@@开头的域名字符串
这些变种利用了函数在解析这些特殊格式字符串时的边界检查不严格,依然可以触发栈溢出。
以V5为例,攻击者可以构造一个类似"@@@###........###@@@"的域名字符串,在解析时会导致缓冲区溢出,从而劫持控制流。
2.3 攻击过程
无论是V1还是其他变种,攻击过程大致如下:
攻击者构造精心设计的、带有恶意荷载的域名/IP字符串
当gethostbyn
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
