现在的位置: 首页 > 综合 > 正文

如何利用“竞态条件”进行攻击

2013年09月10日 ⁄ 综合 ⁄ 共 2501字 ⁄ 字号小中大 ⁄ 评论关闭

《高质量程序设计艺术》样章连载——3.3 竞态条件

原书名：Code Quality: The Open Source Perspective

1. 深入剖析著名开源软件的质量问题

2. 全面阐述C、C++和Java代码中的常见编程错误

3. 指导你编写优秀代码的圣经

----------------------------------------------------------------------------------------------------------------------

3.3 竞态条件

在安全领域，当一个原本应该是原子操作的[1]操作分两步进行时，我们就说这里出现了竞态条件（race condition）。第一步通常是获取对象的某个数据，而第二步则使用该数据对该对象做某种操作。这种类型的竞态条件通常被称为检查与使用时差（time-of-check-to-time-of-use，TOCTTOU）错误。

利用竞态条件进行攻击的一般方式是，特权代码代表非特权用户检查文件的访问权限，然后在该特权代码对文件做进一步的操作时，假设仍然是可以访问的。攻击者通常是在权限检查与其他文件操作之间改变目标文件，以利用竞态条件进行攻击。由于值得攻击的文件通常位于攻击者没有权限读或写的目录中，常用的手段是建立一个符号链接，指向攻击者被允许处理的文件，激活有漏洞的程序对该链接进行操作，然后在这个过程中修改链接，让它指向攻击者想要访问的文件。

例如，考虑图3-2[2]所示的代码片断。这段代码是pppd点对点协议守护程序的一部分，它首先禁止对该守护程序所用的端口写入广播消息（例如“UPS：系统当前使用电池操作”），端口上出现这种消息将搞乱PPP协议处理程序。在文件被打开之后（图3-2:1），该段代码使用获得的文件描述符（ttyfd）来获取并改变对应文件的访问模式（图3-2:2）。到此为止这段代码都是正确的，它使用了fstat和fchmod系统调用来直接操作文件句柄。但是，在将文件访问模式恢复到原来值的时候，该代码错误地使用了chmod系统调用。

[1] 原子操作是不能再分割的操作。

[2] netbsdsrc/usr.sbin/pppd/pppd/main.c:435-763。

恶意用户可以执行一个程序（图3-3中的cracker），该程序在pppd调用chmod之前已经将指向原来文件的链接改为指向另一个文件，欺骗pppd去修改该文件的访问权限。在我们的例子中，攻击者可以让符号链接（图3-4中的slink-file）在一开始指向他或者她具有完全访问权限的文件（rw-file），然后将其修改为指向他或者她想要获得完全访问权限的文件（passwd）。事实上，我们所检查的漏洞的确曾经是一个安全建议的主题。[1]与指定文件相关的竞态条件是可以避免的，只要在相应的系统调用中使用一个文件句柄即可：fchdir、fchflags、fchmod、fchown、fstat、fstatfs、ftruncate以及futimes。在上述例子中，将最后一个调用改成fchmod(ttyfd, tty_mode)即可解决问题。

[1] ftp://ftp.NetBSD.org/pub/NetBSD/security/advisories/NetBSD-SA2002-010.txt.asc。

在阅读代码的时候如果曾遇到了access系统调用，可能就意味着遇到了一个安全问题。对于以提升了的权限运行的应用程序，系统会记录是哪个用户执行了这个应用，即真实用户（real user），以及该应用程序是以哪个用户的权限在运行，即有效用户（effective user）。对于某些任务（例如，写入某个系统文件），应用需要使用有效用户的高权限，而对于其他操作（例如，读取某个用户指定的文件），应用只应该使用真实用户的权限。这种“精神分裂”式的运行行为是需要小心谨慎才能不出乱子的，否则非常容易出安全问题。在此类应用中，调用access被认为可以验证某个进程对应的真实用户（而不是有效用户）是否可以读、写或者执行某个文件。当然，在access调用返回之后，恶意攻击者完全可以利用访问检查与实际使用某个底层对象的间隙来将通过检查的对象替换。验证进程的真实用户是否具有适当访问权限的正确方法是，放弃提升的权限（通过调用seteuid、setegid以及setgroups），然后去执行对应的操作（例如，open或者exec）。例如，如下代码中对access的调用是多余的，后续对open的调用已经足够了：[1]