CVE-2013-2028 经典栈溢出漏洞复现资料整理
一个经典的由整数溢出导致栈溢出的漏洞。下面感觉写的有点乱。
复现漏洞
- CVE-2013-2028:nginx 栈溢出漏洞
相关基础知识
-
栈的基础知识:https://ctf-wiki.github.io/ctf-wiki/pwn/linux/stackoverflow/stack-intro-zh/
-
栈溢出原理:https://ctf-wiki.github.io/ctf-wiki/pwn/linux/stackoverflow/stackoverflow-basic-zh/
-
基础的ROP:https://ctf-wiki.github.io/ctf-wiki/pwn/linux/stackoverflow/basic-rop-zh/
-
一步一步学rop(蒸米rop):
- 一步一步学ROP(x86):http://www.vuln.cn/6645
- 一步一步学ROP(x64):http://www.vuln.cn/6644
- 其他人学习蒸米rop的记录:https://www.yuque.com/hxfqg9/bin/zzg02e
CVE-2013-2028原理
参考资料
- (这篇比较详细)https://www.cnblogs.com/iamstudy/articles/nginx_CVE-2013-2028_brop.html
- https://www.anquanke.com/post/id/85331
- http://www.91ri.org/6029.html
原理简述
CVE-2013-2028是nginx的一个整数溢出导致栈溢出的漏洞。
从触发漏洞的关键函数ngx_http_discard_request_body开始分析。这个函数中,会对chunked的值进行判断,如果chunked的值为1,则会进入到if语句内部处理逻辑,会调用另一个函数ngx_http_discard_request_body_filter
ngx_http_discard_request_body(ngx_http_request_t *r)
{
if (size || r->headers_in.chunked) {
rc = ngx_http_discard_request_body_filter(r, r->header_in);
if (rc != NGX_OK) {
return rc;
}
if (r->headers_in.content_length_n == 0) {
return NGX_OK;
}
}
ngx_http_read_discarded_request_body
在执行ngx_http_discard_request_body离开if语句逻辑后,会执行ngx_http_read_discarded_request_body。首先先看if里的ngx_http_discard_request_body_filter函数。
ngx_http_discard_request_body_filter(ngx_http_request_t *r, ngx_buf_t *b)
{
for ( ;; ) {
rc = ngx_http_parse_chunked(r, b, rb->chunked);
if (rc == NGX_OK) {
/* a chunk has been parsed successfully */
}
if (rc == NGX_DONE) {
/* a whole response has been parsed successfully */
}
if (rc == NGX_AGAIN) {
/* set amount of data we want to see next time */
r->headers_in.content_length_n = rb->chunked->length;
break;
}
注意在for循环中会进行三个if语句逻辑处理,分别对应三种NGX状态,在rc==NGX_AGAIN的时候,会对content_length_n成员变量进行赋值。NGX_AGAIN就是要第二次接收时才会触发,所以要发两个数据包才会触发该漏洞。
通过动态调试会知道content_length_n的值成了一个极大值0xfdffbbffa8afed92。随后进入ngx_http_read_discarded_request_body函数处理。
src/http/ngx_http_request_body.c:676
static ngx_int_t
ngx_http_read_discarded_request_body(ngx_http_request_t *r)
{
size_t size;
ssize_t n;
ngx_int_t rc;
ngx_buf_t b;
u_char buffer[NGX_HTTP_DISCARD_BUFFER_SIZE];
ngx_log_debug0(NGX_LOG_DEBUG_HTTP, r->connection->log, 0,
"http read discarded body");
ngx_memzero(&b, sizeof(ngx_buf_t));
b.temporary = 1;
for ( ;; ) {
if (r->headers_in.content_length_n == 0) {
r->read_event_handler = ngx_http_block_reading;
return NGX_OK;
}
if (!r->connection->read->ready) {
return NGX_AGAIN;
}
size = (size_t) ngx_min(r->headers_in.content_length_n,
NGX_HTTP_DISCARD_BUFFER_SIZE);//key!!
n = r->connection->recv(r->connection, buffer, size);//key!!
在22行,会调用ngx_min函数进行比较,会取content_length_n和NGX_HTTP_DISCARD_BUFFER_SIZE里较小的值。由于content_length_n为一个负数,这里的比较是进行有符号比较,因此,最小值是content_length_n。由于在比较时,ecx存放后8位,edx存放前8位,随后会将ecx的值交给size,这个size是极大值,比buffer的4096大很多,在进行recv的时候,就会接收一个超过buffer大小的数据,造成栈溢出。
总而言之就是,一个整数溢出导致的栈溢出。
安装漏洞环境
ubuntu 安装
获取nginx源码
sudo apt-get update -y
sudo apt-get install -y libssl-dev gcc make wget tar
wget https://github.com/nginx/nginx/archive/release-1.4.0.tar.gz && tar xfv release-1.4.0.tar.gz
build
Without stack cookies:
./auto/configure --without-http_rewrite_module --without-http_gzip_module
vim Makefile
# Add '-fno-stack-protector' to the CFLAGS
make -j4
sudo make install
With stack cookies:
./auto/configure --without-http_rewrite_module --without-http_gzip_module
make -j4
sudo make install
run
sudo /usr/local/nginx/sbin/nginx -g "daemon off;"
在浏览器输入localhost,可以看到如下界面,说明nginx服务开启成功了
docker安装
参考:https://github.com/m4drat/CVE-2013-2028-Exploit
这时访问localhost:8081可以出现上面一样的界面,因为docker-compose里将80端口映射到8081了。
metasploit框架
搜索漏洞
search cve-2013-2028
使用exp
use exploit/linux/http/nginx_chunked_size
这里没写全,可以看msf的文档复现。
触发漏洞
可以参考这个链接来触发漏洞:
https://github.com/mudongliang/LinuxFlaw/tree/master/CVE-2013-2028
网站上现有的exp
github:
- (python实现,代码量相对多,文档详细)https://github.com/kitctf/nginxpwn
- (python实现,代码量少,文档不详细,但代码易懂,我主要基于这个复现)https://github.com/m4drat/CVE-2013-2028-Exploit
- (ruby实现,也有文档,但不太详细)https://github.com/danghvu/nginx-1.4.0
- (not stable):https://github.com/tachibana51/CVE-2013-2028-x64-bypass-ssp-and-pie-PoC
exploit db:
- CVE-2013-2028:https://www.exploit-db.com/exploits/32277