Web Hacking 101 中文版十八、内存（二）

2. Python Hotshot 模块

难度：高

URL：无

报告链接：http://bugs.python.org/issue24481

报告日期：2015.7.20

奖金：$500

描述：

像 PHP 一样，Python 编程语言也是用 C 编写的，它在之前提到过，自己管理内存。Python Hotshot 模块是一个现有 profile 模块的替代品，并且几乎都是用 C 编写，比现有的 profile 模块产生一些更微小的性能影响。但是 2015 年 7 月，该模块中发现了缓冲区溢出漏洞，和尝试将字符串从一个内容位置复制到另一个的代码有关。

本质上，这个漏洞的代码叫做memcpy方法，它将内容从一个地方复制到另一个地址，接受要复制的字节数。像这样：

memcpy(self->buffer + self->index, s, len);

这个方法接受 3 个参数，str，str2和n。str是目标，str2是要复制的来源，n是要复制的字节数。这里，它们对应self->buffer + self->index，s和len。

这里，漏洞实际上是，self->buffer总是固定长度的，但是s可以为任意长度。

因此，在执行copy函数时（就像上面的 Apple 图表那样），memcpy函数忽视了目标区域的真实大小，因此造成了溢出。

重要结论

我们现在查看了两个函数的例子，它们的不正确实现都收到了缓冲区溢出的影响，memcpy和strcpy。如果我们知道某个站点或者应用依赖 C 或者 C++，我们就可以遍历还语言的源代码库（使用类似grep的东西），来寻找不正确的实现。

关键是寻找这样的实现，它向二者之一传递固定长度的变量作为第三个函数，对应被分配的数据长度，在数据复制时，它实际上是变量的长度。

但是，像之前提到的那样，如果你刚刚起步，可能你需要放弃搜索这些类型的漏洞，等你更熟悉白帽子渗透时再回来。

3. Libcurl 越界读取

难度：高

URL：无

报告链接：http://curl.haxx.se/docs/adv_20141105.html

报告日期：2014.11.5

奖金：$1000

描述：

Libcurl 是一个免费的客户端 URL 库，并且由 CURL 命令行工具用于转送数据。libcurl 的curl_easy_duphandle()函数中发现了一个漏洞，它可以利用来发送本不应传输的敏感数据。

在使用 libcurl 执行数据传输时，我们可以使用一个选项，CURLOPT_COPYPOSTFIELDS，来为要发送给远程服务器的数据指定内存区域。换句话说，为你的数据找一块地方。区域大小使用单独的选项来设置。

现在，我们没必要非常技术化，内存区域和一个“句柄”相关（理解清楚“句柄”超出了本书范围，所以没必要了解），并且应用会复制句柄来创建数据的副本。这就是漏洞所在，复制的实现使用了strdup，而数据被假设拥有空字符作为字符串末尾。

这种情况下，数据可能没有，或者在任意位置上拥有空字符。因此，复制的句柄可能过小，过大，或者使程序崩溃。此外，在复制之后，发送数据的函数并没有考虑已经读取和复制的数据，所以它也越过了预期的内存地址来访问和发送数据。

重要结论

这是一个非常复杂的漏洞的示例。虽然它对于这本书来说，过于技术化了，我将其包含来展示它与我们所学的东西的相似性。当我们将其分解时，这个漏洞也与 C 语言代码实现中的一个错误相关，而 C 语言与内存管理和复制相关。同样，如果你打算开始 C 程序的漏洞挖掘，要寻找数据从一块区域复制到另一块区域的地方。

4. PHP 内存截断

难度：高

URL：无

报告链接：https://bugs.php.net/bug.php?id=69453

报告日期：2015.4.14

奖金：$500

描述：

phar_parse_tarfile函数并没有考虑以空字符开始的文件名称，空字符是值为 0 的字节，即十六进制的0x00。

在该方法的执行期间，当使用文件名称时，数组会发生下溢（即尝试访问不存在的数据，并超出了数组分配的内存）。

这是个重要漏洞，因为它向黑客提供了本该限制的内存的访问权。

重要结论

在处理自己管理内存的应用时，特别是 C 和 C++，就像缓冲区溢出那样，内存截断是个古老但是仍旧常见的漏洞。如果你发现，你正在处理基于 C 语言的 Web 应用（PHP 使用它编写），要留意内存操作的方式。但是同样，如果你刚刚起步，你可能值得花费更多时间来寻找简单的注入漏洞，当你更熟练时，再回到内存截断。

总结

虽然内存相关的漏洞能搞个大新闻，但他们也非常难以处理，并需要相当大量的技巧。这些类型的漏洞最好还是留着，除非你拥有底层编程语言的编程背景。

虽然现代的程序语言不太可能受其影响，由于它们的内存处理和垃圾收集策略，用 C 语言编写的应用仍然易受影响。此外，当你处理用 C 语言编写的现代语言时，事情可能需要一些技巧，就像我们在 PHPftp_genlist()和 Python Hotspot 模块的示例中看到的那样。