ЛУЧШИХ ВИРУСОВ - Xakep Online

обзор
эксплоитов
обзор
эксплоитов
>> взлом
int fts_errno; /* èñêëþ÷åíèÿ */
long fts_number; /* íóìåðîâàííîå çíà÷åíèå */
void *fts_pointer; /* ëîêàëüíûé àäðåñ â ïàìÿòè */
struct _ftsent *fts_parent; /* ðîäèòåëüñêàÿ äèðåêòîðèÿ
*/
struct _ftsent *fts_link; /* ñëåäóþùàÿ ôàéëîâàÿ
ñòðóêòóðà */
struct _ftsent *fts_cycle; /* ñòðóêòóðà èåðàðõèè ïî
öèêëó */
struct stat *fts_statp; /* ñòàòèñòèêà ïî ôàéëàì
èåðàðõèè */
} FTSENT;
Заметим, что fts_level имеет тип short. Это наводит на определенные
мысли. При изучении кода взгляд натыкается на комментарий
разработчиков:
- ---line-616-625---
/*
* Figure out the max file name length that can
be stored in the
* current path -- the inner loop allocates
more path as necessary.
* We really wouldn’t have to do the maxlen
calculations here, we
* could do them in fts_read before returning
the path, but it’s a
* lot easier here since the length is part of
the dirent structure.
*
* If not changing directories set a pointer so
that can just append
* each new name into the path.
*/
- ---line-616-625---
«По правде говоря, мы не будем здесь делать какие-либо вычисления
с огромными именами... и здесь должен быть уровень
ограничений или «pathlen»-монитор». Конечно, должен, но где
же он? Безусловно, недоработка, а точнее недоделка.
#define NAPPEND(p)\
(p->fts_path[p->fts_pathlen — 1] == ‘/’ \
? p->fts_pathlen — 1 : p->fts_pathlen)
Естественно, эта функция пойдет в креш, если мы обратимся к неправильному
участку памяти с помощью аномальных параметров.
127# pwd
/home/cxib
# êîëè÷åñòâî ðîäèòåëüñêèõ êàòàëîãîâ î÷åíü âåëèêî
127# du /home/
4 /home/cxib/.ssh
Segmentation fault (core dumped)
127# rm -rf Samotnosc
Segmentation fault (core dumped)
127# chmod -R 000 Samotnosc
Segmentation fault (core dumped)
>> Targets
• OpenBSD 4.4 (/usr/src/lib/libc/gen/fts.c)
• Microsoft Interix 6.0 10.0.6030.0 x86
• Microsft Vista Enterprise (SearchIndexer.exe) z
XÀÊÅÐ 04 /124/ 09
47