VMware ESXi OpenSLP堆溢出漏洞如何解决

发布时间:2023-03-13 11:42:49 作者:iii
来源:亿速云 阅读:148

这篇文章主要介绍“VMware ESXi OpenSLP堆溢出漏洞如何解决”的相关知识,小编通过实际案例向大家展示操作过程,操作方法简单快捷,实用性强,希望这篇“VMware ESXi OpenSLP堆溢出漏洞如何解决”文章能帮助大家解决问题。

介绍

具体影响版本

大于以下版本则不受影响

被攻击之后的访问管理界面示例

VMware ESXi OpenSLP堆溢出漏洞如何解决

漏洞成因

服务定位协议

服务定位协议是一种服务发现协议,它允许连接设备通过查询目录服务器来识别局域网内可用的服务。这类似于一个人走进购物中心并查看目录列表以查看商场中有哪些商店。为了保持简短,设备可以通过发出“服务请求”并指定要使用 URL 查找的服务类型来查询服务及其位置。

例如,要从目录服务器查找 VMInfrastructure 服务,设备将使用“service:VMwareInfrastructure”作为 URL 发出请求。服务器将回复类似“service:VMwareInfrastructure://localhost.localdomain”的内容。

设备还可以通过发出提供相同 URL 的“属性请求”来收集有关服务的其他属性和元数据。要添加到目录中的设备可以提交“服务注册”。此请求将包括发布公告的设备的 IP、服务类型以及要共享的任何元数据等信息。SLP 可以执行更多功能,但我感兴趣的最后一个消息类型是“目录代理通告”,因为这是漏洞所在。“目录代理通告”是由服务器发送的广播消息,让网络上的设备知道如果他们想要查询服务及其位置,应该联系谁。要了解有关 SLP 的更多信息,请参阅此处和该内容。

SLP 数据包结构

虽然不同 SLP 消息类型之间的 SLP 结构布局略有不同,但它们通常遵循标头 + 正文格式。

“服务请求”数据包如下所示:

VMware ESXi OpenSLP堆溢出漏洞如何解决

“属性请求”数据包如下所示:

VMware ESXi OpenSLP堆溢出漏洞如何解决

“服务注册”数据包如下所示:

VMware ESXi OpenSLP堆溢出漏洞如何解决

最后,“目录代理通告”数据包如下所示:

VMware ESXi OpenSLP堆溢出漏洞如何解决

漏洞点

该问题出在“SLPParseSrvURL”函数中,该函数在处理“目录代理通告”消息时被调用。

VMware ESXi OpenSLP堆溢出漏洞如何解决

在第 18 行,URL 的长度与数字相加 0x1d 以形成从内存中“calloc”的最终大小。在第 22 行,调用 'strstr' 函数来查找子字符串 “:/” 的位置在网址中。在第 28 行,子字符串“:/”之前的 URL 内容将从第 18 行复制到新的 ‘calloced’内存中。

另一件需要注意的事情是,如果子字符串“:/”,'strstr'函数将返回0不存在或函数命中空字符。

我推测VMware测试用例只尝试长度小于256的“范围”。如果我们查看以下“目录代理通告”布局代码段,我们会看到示例 1 的“范围”长度包含一个空字节。这个空字节意外地充当了“URL”的字符串终止符,因为它紧随其后。如果 'scopes' 的长度高于 256,则长度的十六进制表示形式将没有空字节(如示例 2 所示),因此 'strstr' 函数将读取传递的 'URL' 并继续查找子字符串 “:/”在“范围”中。

VMware ESXi OpenSLP堆溢出漏洞如何解决

因此,“memcpy”调用将导致堆溢出,因为源包含来自“URL”的内容+“范围”的一部分,而目标只有空格来容纳“URL”。

SLP 对象

在这里,我将介绍相关的 SLP 组件,因为它们是利用的构建块。

_SLPDSocket

连接到“slpd”守护程序的所有客户端都将在堆上创建一个“slpd-socket”对象。此对象包含有关连接的当前状态的信息,例如它是处于读取状态还是写入状态。此对象中存储的其他重要信息包括客户端的 IP 地址、用于连接的套接字文件描述符、指向此特定连接的“recv-buffer”和“send-buffer”的指针,以及指向从先前和将来建立的连接创建的“slpd-socket”对象的指针。此对象的大小固定为 0xd0,无法更改。

VMware ESXi OpenSLP堆溢出漏洞如何解决

来自OpenSLP源代码的_SLPDSocket结构

VMware ESXi OpenSLP堆溢出漏洞如何解决

_SLPDSocket对象的内存布局

_SLPBuffer

从服务器接收的所有 SLP 消息类型将创建至少两个 SLPBuffer 对象。一个称为“recv-buffer”,它存储服务器从客户端接收的数据。由于我可以控制从客户端发送的数据的大小,因此我可以控制“recv-buffer”的大小。另一个SLPBuffer对象称为“send-buffer”。此缓冲区存储将从服务器发送到客户端的数据。“发送缓冲区”具有固定的0x598大小,我无法控制其大小。此外,SLPBuffer 具有元数据属性,指向所述数据的起始位置、当前位置和结束位置。

VMware ESXi OpenSLP堆溢出漏洞如何解决

从 OpenSLP 源代码_SLPBuffer

VMware ESXi OpenSLP堆溢出漏洞如何解决

_SLPBuffer对象的内存布局

SLP 套接字状态

SLP 套接字状态定义特定连接的状态。状态值在_SLPSocket对象中设置。连接将调用“recv”或“发送”,具体取决于套接字的状态。

VMware ESXi OpenSLP堆溢出漏洞如何解决

OpenSLP 源代码中定义的套接字状态常量

了解_SLPSocket、_SLPBuffer和套接字状态的属性非常重要,因为利用过程需要修改这些值。

利用步骤

关于“VMware ESXi OpenSLP堆溢出漏洞如何解决”的内容就介绍到这里了,感谢大家的阅读。如果想了解更多行业相关的知识,可以关注亿速云行业资讯频道,小编每天都会为大家更新不同的知识点。

推荐阅读:
  1. 虚拟机VMware宿主化是什么意思
  2. VMWare中CentOS ifcfg-eth0怎么配置

免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。

vmware

上一篇:ArrayList集合初始化及扩容方法是什么

下一篇:Android Flutter如何实现在多端运行的扫雷游戏

相关阅读

您好,登录后才能下订单哦!

密码登录
登录注册
其他方式登录
点击 登录注册 即表示同意《亿速云用户服务条款》