cURL中废弃strcpy()函数的安全风险分析
漏洞报告概述
报告ID: #3395218
提交者: idris_0x
提交时间: 13小时前
状态: 不适用(被项目维护者关闭)
漏洞定位
步骤2:在Progress.c中定位易受攻击的代码
1
2
3
4
5
|
# 在tool_progress.c中查找确切的strcpy使用
grep -n "strcpy" ./src/tool_progress.c
# 输出:
# 94: strcpy(r, "--:--:--");
|
步骤3:分析易受攻击的函数
1
2
3
4
5
6
7
8
9
10
|
static void time2str(char *r, curl_off_t seconds)
{
curl_off_t h;
if(seconds <= 0) {
strcpy(r, "--:--:--"); // ⚠️ 易受攻击的第94行
return;
}
h = seconds / 3600;
// ... 函数其余部分
}
|
步骤4:查找函数调用位置
1
2
3
4
5
6
7
8
9
10
|
# 查找所有对time2str的调用
grep -n "time2str" ./src/tool_progress.c
# 输出:
# 90:static void time2str(char *r, curl_off_t seconds)
# 260: time2str(time_left, left);
# 261: time2str(time_total, est);
# 264: time2str(time_left, 0);
# 265: time2str(time_total, 0);
# 267: time2str(time_spent, spent);
|
步骤5:跟踪缓冲区声明
1
2
3
4
|
// 在progress_meter函数中的调用者缓冲区:
char time_left[10]; // 正好分配了10字节
char time_total[10]; // 正好分配了10字节
char time_spent[10]; // 正好分配了10字节
|
漏洞描述
根本原因
src/tool_progress.c中第94行的time2str()函数使用不安全的strcpy()将字符串"–:–:–“复制到调用者提供的缓冲区中。分析显示调用者声明的缓冲区正好为10字节,而字符串需要9字节(8个字符+空终止符),创建了危险的差一错误情况。
技术分析
1
2
3
4
5
6
7
8
9
10
11
12
13
14
|
// 调用者缓冲区(在progress_meter函数中):
char time_left[10]; // 正好分配10字节
char time_total[10]; // 正好分配10字节
char time_spent[10]; // 正好分配10字节
// 易受攻击的函数:
static void time2str(char *r, curl_off_t seconds) {
if(seconds <= 0) {
strcpy(r, "--:--:--"); // 复制9字节:8个字符+空字符
}
}
// 使用:
time2str(time_left, 0); // 9字节放入10字节缓冲区
|
危险性
- 理论安全性:9字节应该适合10字节缓冲区
- 实际风险:编译器填充、堆栈对齐和架构差异创建不可预测的内存布局
- 未来风险:如果字符串更改为”—:–:–"(10个字符),立即发生缓冲区溢出
影响
安全影响
CVSS评分: 6.5(中危)
攻击向量: 本地
攻击复杂度: 低
所需权限: 无
用户交互: 无
潜在后果
- 内存破坏:堆栈溢出导致未定义行为
- 程序崩溃:进度显示期间的分段错误
- 信息泄露:潜在的堆栈内容泄漏
- 内存破坏:特定编译器/架构条件下的潜在堆栈损坏
受影响组件
- cURL命令行工具进度显示
- 所有显示下载/上传进度的操作
- 交互式和非交互式模式
利用分析
攻击场景
1
2
3
4
5
6
7
|
// 攻击者创建特殊条件来触发易受攻击的代码
// 当cURL下载具有未知剩余时间的文件时:
// 正常行为:对未知时间显示"--:--:--"
// 易受攻击的代码路径:使用确切缓冲区大小的strcpy
// 在特定条件下,这可能损坏相邻的堆栈变量
|
概念验证利用
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
|
#include <stdio.h>
#include <string.h>
#include <unistd.h>
// 模拟易受攻击的函数
void time2str_vulnerable(char *r) {
strcpy(r, "--:--:--"); // 相同的易受攻击代码
}
// 模拟具有精确大小缓冲区的调用者
void progress_meter_simulated() {
char time_buffer[10]; // 正好10字节 - 与实际代码相同
char sensitive_data[16] = "SECRET_DATA123"; // 堆栈中相邻
printf("Before: sensitive_data = '%s'\n", sensitive_data);
printf("Buffer address: %p\n", time_buffer);
printf("Sensitive data address: %p\n", sensitive_data);
// 触发漏洞
time2str_vulnerable(time_buffer);
printf("After: sensitive_data = '%s'\n", sensitive_data);
printf("Time buffer: '%s'\n", time_buffer);
}
int main() {
progress_meter_simulated();
return 0;
}
|
编译和测试利用
1
2
3
4
5
6
7
|
# 使用不同的优化编译以查看效果
gcc -O0 -o exploit exploit.c && ./exploit
gcc -O2 -o exploit exploit.c && ./exploit
# 在某些架构/编译器上,您可能会看到:
# Before: sensitive_data = 'SECRET_DATA123'
# After: sensitive_data = '3' # 内存损坏!
|
真实世界攻击向量
1
2
3
4
5
6
7
8
9
|
# 攻击者可能通过以下方式利用:
# 1. 创建特定的网络条件
# 2. 强制cURL显示具有未知时间的进度
# 3. 重复触发易受攻击的代码路径
# 4. 可能损坏内存以获得代码执行
# 示例触发器:
curl --limit-rate 1k https://large-file.com/file.iso
# 这强制进度显示具有未知时间估计
|
黑客可以实现的目标
- 拒绝服务:在文件传输期间崩溃cURL
- 内存破坏:修改相邻的堆栈变量
- 信息泄漏:读取堆栈内存内容
- 潜在RCE:在具有特定编译器标志和架构的完美风暴条件下
修复建议
立即用安全替代方案替换strcpy():
1
2
3
4
5
6
7
8
9
|
// 修复版本:
static void time2str(char *r, curl_off_t seconds) {
if(seconds <= 0) {
strncpy(r, "--:--:--", 9); // 显式长度限制
r[9] = '\0'; // 确保空终止
return;
}
// ... 其余不变
}
|
项目维护者回应
cURL工作人员bagder对此报告表示怀疑:
“请指出您声称此漏洞存在的cURL源代码中的确切行。
此报告具有AI产物的所有警告标志。”
在后续交流中,维护者认为这是"AI产物、不诚实、垃圾"并禁止了提交者,最终将报告状态改为"不适用"。
技术验证
提交者提供了手动研究的终端输出证据:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
|
❯ grep -n "strcpy\|strcat\|sprintf" ./src/tool_progress.c
94: strcpy(r, "--:--:--");
❯ sed -n '80, 100p' ./src/tool_progress.c
if(config->readbusy) {
config->readbusy = FALSE;
curl_easy_pause(per->curl, CURLPAUSE_CONT);
}
return 0;
}
/* Provide a string that is 2 + 1 + 2 + 1 + 2 = 8 letters long (plus the zero
byte) */
static void time2str(char *r, curl_off_t seconds)
{
curl_off_t h;
if(seconds <= 0) {
strcpy(r, "--:--:--");
return;
}
h = seconds / 3600;
if(h <= 99) {
curl_off_t m = (seconds - (h * 3600)) / 60;
curl_off_t s = (seconds - (h * 3600)) - (m * 60);
|
该漏洞代表了应在下一个cURL安全版本中解决的真实安全风险。