cve-2010-0304Wireshark溢出漏洞分析和利用代.PDF

cve-2010-0304 Wireshark 溢出漏洞分析及利用代码的分析 Wireshark 是一款非常流行的网络封包分析软件. 其方便性,开源性和跨平台性和可扩 展性,导至其有很广大的使用人群,尤其做网络相关开发工作的程序员. 现在我们要分析的 Cve-2010-0304 这个漏洞是在对lwres 协议解码中,由于字符串读取处理不当造成的. 我们 可以从官方下到其源码,来分析下漏洞产生的原因,并对网络上流行的利用程序,进行简单的 分析.(在1.2.6 的版本中,修补了这个漏洞,我下的是1.2.5). 下面分析下漏洞产生的原因. 出现问题的函数为:dissect_getaddrsbyname_request (这个函数在epan\dissectors\packet-lwres.c 这个文件中定义). static void dissect_getaddrsbyname_request(tvbuff_t* tvb, proto_tree* lwres_tree) { guint32 flags,addrtype; guint16 namelen; guint8 name[120]; proto_item* adn_request_item; proto_tree* adn_request_tree; flags = tvb_get_ntohl(tvb, LWRES_LWPACKET_LENGTH); addrtype = tvb_get_ntohl(tvb, LWRES_LWPACKET_LENGTH + 4); namelen = tvb_get_ntohs(tvb, LWRES_LWPACKET_LENGTH + 8); tvb_get_nstringz(tvb, LWRES_LWPACKET_LENGTH+10, namelen, name); //这里产生 溢出 name[namelen]=\0; } 这个地方为什么会出现问题呢,首先讲一下tvb_get_nstringz 这个函数的作用,这个函数有 四个参数,第一个是一个tvb 结构,里面放着相关的一些结构及原始的数据,第二个是一个偏 移,用于描述tvb 中数据区域的偏移,第三个namelen,用于描述拷贝的长度,而我们也可以看 出,这个值是从LWRES_LWPACKET_LENGTH + 8 的偏移处读取的,第四个参数name 即我们定义 的数组,用来保存我们读取的对象. 很明显,我们可以看到问题是怎么产生的了, 由于namelen 也是从数据中读取,所以这 个值是可控的,假如我们把它设为大于120 的一个数, 那在往name[120]中拷贝的过程中,便 会产生溢出了. 漏洞的产生的原因很简单,就是普通的溢出漏洞.下面我们分析一下攻击代码,可以学习 一下利用程序是如何写的.(当然,在这里,高手可以跳过去了.因为都是一些基础的东西.) 网上公布了利用的python 利用代码/exploit/19119/,我们也可以自己利 用metasploit 生成攻击包. (/redmine/projects/framework/repository/revisions/8367/ent ry/modules/exploits/multi/misc/wireshark_lwres_getaddrbyname.rb) 下面我们先科普一下Wireshark 接口的编写的相关基础知识. 在packet-lwres.c 中,还有如下函数, proto_register_lwres(void)//用于注册这个协议,其中定义了相关协议的数据结构. proto_reg_handoff_lwres(void)//绑定处理函数的句柄 dissect_lwres(tvbuff_t *tvb, packet_info *pinfo, proto_tree *tree)//具体解码的 函数 具体函数的细节,大家下到源码后自己慢慢分析吧,下面只讲其中的几个重要的数据. 在开始的定义中,有如下代码, #define LWRES_UDP_PORT 921 static guint global_lwres_port = LWRES_UDP_PORT; 从中我们可以看出,其走的是UDP 协议,端口号为921, 并在proto_register_lwres 函数中,用如下代码将其绑定 prefs_register_uint_preference(lwres_module,