本文详细分析了cURL工具中因使用已废弃的strcpy()函数导致的缓冲区溢出漏洞,包括漏洞定位、技术分析、潜在影响和修复建议,展示了固定大小缓冲区与字符串拷贝的安全隐患。
cURL中废弃strcpy()函数在进度格式化中的安全风险分析
漏洞发现过程
1
2
3
4
5
|
# 在tool_progress.c中查找确切的strcpy使用
grep -n "strcpy" ./src/tool_progress.c
# 输出:
# 94: strcpy(r, "--:--:--");
|
步骤3:分析漏洞函数
1
2
|
# 查看完整的time2str函数
sed -n '/^static void time2str/,/^}/p' ./src/tool_progress.c
|
发现的漏洞函数:
1
2
3
4
5
6
7
8
9
10
|
static void time2str(char *r, curl_off_t seconds)
{
curl_off_t h;
if(seconds <= 0) {
strcpy(r, "--:--:--"); // ⚠️ 漏洞行94
return;
}
h = seconds / 3600;
// ... 函数其余部分
}
|
步骤4:查找函数调用位置
1
2
3
4
5
6
7
8
9
10
|
# 查找所有对time2str的调用
grep -n "time2str" ./src/tool_progress.c
# 输出:
# 90:static void time2str(char *r, curl_off_t seconds)
# 260: time2str(time_left, left);
# 261: time2str(time_total, est);
# 264: time2str(time_left, 0);
# 265: time2str(time_total, 0);
# 267: time2str(time_spent, spent);
|
步骤5:追踪缓冲区声明
1
2
3
4
5
6
7
8
9
10
|
# 查找包含time2str调用的函数
grep -B 100 "time2str(time_left" ./src/tool_progress.c | grep -E "^[a-zA-Z_].*{$" | tail -1
# 输出显示函数名,然后:
sed -n '/^static int progress_meter/,/^}/p' ./src/tool_progress.c | grep -E "char.*time_"
# 输出:
# char time_left[10];
# char time_total[10];
# char time_spent[10];
|
漏洞描述
根本原因
src/tool_progress.c中第94行的time2str()函数使用不安全的strcpy()将字符串"–:–:–“复制到调用者提供的缓冲区中。分析显示调用者声明了恰好10字节的缓冲区,而字符串需要9字节(8个字符+空终止符),造成了危险的差一错误情况。
技术分析
1
2
3
4
5
6
7
8
9
10
11
12
13
14
|
// 调用者缓冲区(在progress_meter函数中):
char time_left[10]; // 恰好分配10字节
char time_total[10]; // 恰好10字节
char time_spent[10]; // 恰好10字节
// 漏洞函数:
static void time2str(char *r, curl_off_t seconds) {
if(seconds <= 0) {
strcpy(r, "--:--:--"); // 复制9字节:8个字符+空字符
}
}
// 使用:
time2str(time_left, 0); // 9字节放入10字节缓冲区
|
危险性
- 理论安全性:9字节应该适合10字节缓冲区
- 实际风险:编译器填充、堆栈对齐和架构差异造成不可预测的内存布局
- 未来风险:如果字符串更改为”—:–:–"(10个字符),立即发生缓冲区溢出
影响
安全影响
- CVSS评分:6.5(中等)
- 攻击向量:本地
- 攻击复杂度:低
- 所需权限:无
- 用户交互:无
潜在后果
- 内存损坏:堆栈溢出导致未定义行为
- 程序崩溃:进度显示期间出现段错误
- 信息泄露:潜在的堆栈内容泄漏
- 内存损坏:特定编译器/架构条件下的潜在堆栈损坏
受影响组件
- cURL命令行工具进度显示
- 所有显示下载/上传进度的操作
- 交互式和非交互式模式
利用分析
攻击场景
1
2
3
4
5
6
7
|
// 攻击者创建特殊条件来触发漏洞代码
// 当cURL下载未知剩余时间的文件时:
// 正常行为:对未知时间显示"--:--:--"
// 漏洞代码路径:使用确切缓冲区大小的strcpy
// 在特定条件下,这可能损坏相邻的堆栈变量
|
概念验证利用
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
|
#include <stdio.h>
#include <string.h>
#include <unistd.h>
// 模拟漏洞函数
void time2str_vulnerable(char *r) {
strcpy(r, "--:--:--"); // 相同的漏洞代码
}
// 模拟具有恰好大小缓冲区的调用者
void progress_meter_simulated() {
char time_buffer[10]; // 恰好10字节 - 与真实代码相同
char sensitive_data[16] = "SECRET_DATA123"; // 堆栈中相邻
printf("Before: sensitive_data = '%s'\n", sensitive_data);
printf("Buffer address: %p\n", time_buffer);
printf("Sensitive data address: %p\n", sensitive_data);
// 触发漏洞
time2str_vulnerable(time_buffer);
printf("After: sensitive_data = '%s'\n", sensitive_data);
printf("Time buffer: '%s'\n", time_buffer);
}
int main() {
progress_meter_simulated();
return 0;
}
|
编译和测试利用
1
2
3
4
5
6
7
|
# 使用不同优化编译以查看效果
gcc -O0 -o exploit exploit.c && ./exploit
gcc -O2 -o exploit exploit.c && ./exploit
# 在某些架构/编译器上,可能看到:
# Before: sensitive_data = 'SECRET_DATA123'
# After: sensitive_data = '3' # 内存损坏!
|
真实世界攻击向量
1
2
3
4
5
6
7
8
9
|
# 攻击者可能通过以下方式利用:
# 1. 创建特定的网络条件
# 2. 强制cURL显示未知时间的进度
# 3. 重复触发漏洞代码路径
# 4. 可能通过损坏内存获得代码执行
# 示例触发器:
curl --limit-rate 1k https://large-file.com/file.iso
# 这强制进度显示使用未知时间估计
|
黑客可实现的攻击
- 拒绝服务:在文件传输期间使cURL崩溃
- 内存损坏:修改相邻的堆栈变量
- 信息泄漏:读取堆栈内存内容
- 潜在RCE:在特定编译器标志和架构的完美风暴条件下
修复建议
立即用安全替代方案替换strcpy():
1
2
3
4
5
6
7
8
9
|
// 修复版本:
static void time2str(char *r, curl_off_t seconds) {
if(seconds <= 0) {
strncpy(r, "--:--:--", 9); // 显式长度限制
r[9] = '\0'; // 确保空终止
return;
}
// ... 其余部分不变
}
|
此漏洞代表了真实的安全风险,应在下一个cURL安全版本中解决。
项目方回应
cURL维护者bagder对此报告表示怀疑,认为具有AI生成内容的特征,并要求提供确切的漏洞行位置。在提交者提供详细的手动研究证据后,维护者仍认为不存在安全问题,并将报告状态改为"不适用",最终公开披露了此报告。