软件逆向- 调试httpd通过fork+execute调用的cgibin程序

在调试dlink的httpd时，漏洞可能发生在httpd通过fork+execute调用的cgibin中，其中httpd解析网络请求中的字段，并且以环境变量的形式传递给cgibin进行处理。那么要调试cgibin就有两种方式：

设置环境变量，然后直接调试cgibin。
了解httpd是如何调用cgibin的，然后通过设置gdb调试子进程、catch exec，调试cgibin。

方法1的优点是简单直接，缺点是需要了解httpd是如何处理、传递数据到环境变量，以免使用了实际上通不过httpd校验的环境变量；方法2的优点是直观，但是需要熟练掌握gdb调试子进程相关的知识。

httpd调用CGI上下文说明

和许多典型的httpdserver一样，传入到函数process_cgi中的参数a1是httpd所定义的数据结构，其中包含了一个网络请求的数据集合，例如请求方式REQUEST_METHOD、URI、SESSION等等。a1传递到process_cgi函数中进行处理，获取到需要调用的cgi，以及将需要处理的数据转化成环境变量集合到cgi中。在dir 850l的固件中，几乎所有的cgi都是通过链接的形式到程序cgibin，cgibin根据请求的不同来采用不同的接口（函数）进行处理。

       int 
       __fastcall process_cgi(_DWORD 
       *
       a1) 
      
       {
      
       ......
      
       v77 
       = 
       spawn(
       *
       filename, filename, argv, v79, v75, v9, v8, a1 
       + 
       992
       );
      
       ......
      
       }

spawn函数则是一个典型的封装了fork+execve的函数，通过fork函数创建子进程，设置子进程的进程组、资源限制、重定向输入输出等。

       __pid_t __fastcall spawn(const char 
       *
       filename, char 
       *
       const 
       *
       argv, char 
       *
       const 
       *
       envp, 
       int 
       a4, 
       int 
       a5, 
       int 
       a6, 
       int 
       a7, char 
       *
       path)
      
       {
      
       __pid_t result; 
       /
       / 
       $v0
      
       int 
       v13; 
       /
       / 
       $a0
      
       int 
       v14[
       4
       ]; 
       /
       / 
       [sp
       +
       18h
       ] [
       -
       18h
       ] BYREF
      
       __pid_t v15; 
       /
       / 
       [sp
       +
       28h
       ] [
       -
       8h
       ]
      
       result 
       = 
       fork();  
       /
       / 
       创建子进程，此时的子进程依旧是httpd的程序镜像
      
       if 
       ( result 
       =
       = 
       -
       1 
       )
      
       {
      
       v15 
       = 
       -
       1
       ;
      
       lerror(
       "spawn: failed to create child process"
       );
      
       goto LABEL_6;
      
       }
      
       if 
       ( !result )
      
       {
      
       setpgid(
       0
       , 
       0
       );  
       /
       / 
       改变子进程的进程组
      
       sub_409C9C(
       13
       , 
       0
       );
      
       if 
       ( coredir )
      
       {
      
       v14[
       3
       ] 
       = 
       0
       ;
      
       v14[
       2
       ] 
       = 
       0
       ;
      
       v14[
       1
       ] 
       = 
       0
       ;
      
       v14[
       0
       ] 
       = 
       0
       ;
      
       setrlimit64(
       4
       , v14);  
       /
       / 
       设置资源限制
      
       }
      
       dup2(a4, 
       0
       );  
       /
       / 
       复制文件描述符：标准输入和标准输出
      
       dup2(a4, 
       1
       );
      
       if 
       ( a5 !
       = 
       -
       1 
       )
      
       dup2(a5, 
       2
       );
      
       if 
       ( chdir(path) 
       =
       = 
       -
       1 
       )
      
       {
      
       v13 
       = 
       5
       ;
      
       }
      
       else
      
       {
      
       execve(filename, argv, envp);  
       /
       / 
       执行cgibin，将cgibin加载并替换掉子进程的httpd
      
       v13 
       = 
       6
       ;
      
       }
      
       exit(v13);
      
       }
      
       +
       +
       dword_42350C;
      
       if 
       ( debug )
      
       {
      
       v15 
       = 
       result;
      
       log_d(
       "child process %d created"
       , result);
      
       LABEL_6:
      
       result 
       = 
       v15;
      
       }
      
       return 
       result;
      
       }

那么到此，回想之前的标题：如何调试httpd通过execute调用的cgibin，该问题就可以抽象为：如何调试子进程中通过execute调用的可执行文件。

调试原理

默认情况下，gdb在调试多进程的时候，只会追踪父进程，例如执行完fork函数，fork的返回值是子进程的pid，gdb中实际上在调试的是父进程。如果要调试子进程，则需要在gdb中使用如下的命令：

1	`set` `follow` `-` `fork` `-` `mode child`

上面命令解决了让gdb调试到子进程，但是有时候还需要同时调试父进程和子进程，如果仅仅是gdb在子进程中，父进程依旧会正常运行。那么，就可以使用如下的命令，使得在调试子进程的时候，父进程也暂停处于挂起的状态：

1	`set` `detach` `-` `on` `-` `fork off` `# 默认是on`

上面两条命令结合起来就实现了同时调试父进程和子进程，那么这个时候也还有一个问题：在子进程中，execute调用cgibin是作为一个函数来实现的，单步步过该函数达不到调试目的，步进该函数更加容易陷入到函数的细节实现中。
对于调试cgibin，可以通过catch exec命令，来捕获执行新进程的事件。当进程使用execute重新执行一个程序时，gdb会中断程序的运行，到ld加载器start函数中。除此之外，还可以使用例如catch exec /bin/ls来指定需要捕获的具体进程加载程序事件。

综上所述，调试通过fork+execute调用的程序，可以使用如下步骤：

在fork的时候，执行gdb命令：set follow-fork-mode child，使得gdb开始调试子进程。
同时，可以执行gdb命令：set detach-on-fork off，让在调试子进程的同时，父进程挂起。这样执行完子进程也可以返回到父进程中。
执行gdb命令：catch exec，捕获子进程通过execute加载执行新程序的事件。

调试过程

现在回归到具体的调试过程中。
当httpd执行到调用cgi的spawn函数中，此时准备执行fork函数，可以看到只有httpd一个进程，也就是父进程PID=1444：

       pwndbg> info inferiors
      

         
       Num  Description       Executable
      

       * 
       1    
       process 
       1444      
       /
       home
       /
       utest
       /
       app
       /
       FirmAE
       /
       firmwares
       /
       _DIR850L_FW115KRb07.
       bin
       .extracted
       /
       squashfs
       -
       root
       /
       sbin
       /
       httpd
      

第一步需要保证在执行到spawn的时候，fork之后是进入了子进程，

1 2	`0x409d2c` `<spawn` `+` `56` `> move $s3, $a2` `►` `0x409d30` `<spawn` `+` `60` `> jalr $t9 <fork>`

此时，执行gdb命令：

1 2	`set` `follow` `-` `fork` `-` `mode child` `set` `detach` `-` `on` `-` `fork off`

再查看进程信息，也可以确认此时gdb处于子进程中。此时也可以通过inferiors Num切换到父进程。

       pwndbg> info inferiors
      

         
       Num  Description       Executable
      

         
       1    
       process 
       1444      
       /
       home
       /
       utest
       /
       app
       /
       FirmAE
       /
       firmwares
       /
       _DIR850L_FW115KRb07.
       bin
       .extracted
       /
       squashfs
       -
       root
       /
       sbin
       /
       httpd
      

       * 
       2    
       process 
       31740     
       /
       home
       /
       utest
       /
       app
       /
       FirmAE
       /
       firmwares
       /
       _DIR850L_FW115KRb07.
       bin
       .extracted
       /
       squashfs
       -
       root
       /
       sbin
       /
       httpd
      

继续在子进程中执行到execute函数，可以看到此时正准备加载执行/htdocs/web/session.cgi，该cgi实际上是一个链接到cgibin。

         
       0x409e68 
       <spawn
       +
       372
       >    addiu  $a0, $zero, 
       5
      

         
       0x409e6c 
       <spawn
       +
       376
       >    lw     $t9, 
       -
       0x7d7c
       ($gp)
      

         
       0x409e70 
       <spawn
       +
       380
       >    move   $a0, $s2
      

       ► 
       0x409e74 
       <spawn
       +
       384
       >    jalr   $t9                           <execve>
      

              
       path: 
       0x7ed330 
       ◂— 
       '/htdocs/web/session.cgi'
      

              
       argv: 
       0x4280f0 
       —▸ 
       0x7ed330 
       ◂— 
       '/htdocs/web/session.cgi'
      

              
       envp: 
       0x0
      

那么此时就应该执行gdb命令：catch exec，用来捕获子进程加载cgi的事件：

这个时候可以查看栈，来看httpd传递给cgi哪些环境变量（也就是需要处理的数据）：

       pwndbg> stack 
       30
      

       00
       :
       0000
       │ fp sp 
       0x7fe2b4a0 
       ◂— 
       0x1
      

       01
       :
       0004
       │       
       0x7fe2b4a4 
       —▸ 
       0x7fe2bd23 
       ◂— 
       '/htdocs/web/session.cgi'
      

       02
       :
       0008
       │       
       0x7fe2b4a8 
       ◂— 
       0x0
      

       03
       :
       000c
       │       
       0x7fe2b4ac 
       —▸ 
       0x7fe2bd3b 
       ◂— 
       'HTTP_HOST=192.168.0.1'
      

       04
       :
       0010
       │       
       0x7fe2b4b0 
       —▸ 
       0x7fe2bd51 
       ◂— 
       'HTTP_USER_AGENT=Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:109.0) Gecko/20100101 Firefox/110.0'
      

       05
       :
       0014
       │       
       0x7fe2b4b4 
       —▸ 
       0x7fe2bdb0 
       ◂— 
       'HTTP_ACCEPT=*/*'
      

       06
       :
       0018
       │       
       0x7fe2b4b8 
       —▸ 
       0x7fe2bdc0 
       ◂— 
       'HTTP_ACCEPT_LANGUAGE=en-US,en;q=0.5'
      

       07
       :
       001c
       │       
       0x7fe2b4bc 
       —▸ 
       0x7fe2bde4 
       ◂— 
       'HTTP_ACCEPT_ENCODING=gzip, deflate'
      

       08
       :
       0020
       │       
       0x7fe2b4c0 
       —▸ 
       0x7fe2be07 
       ◂— 
       'HTTP_ORIGIN=http://192.168.0.1'
      

       09
       :
       0024
       │       
       0x7fe2b4c4 
       —▸ 
       0x7fe2be26 
       ◂— 
       'HTTP_REFERER=http://192.168.0.1/index.php'
      

       0a
       :
       0028
       │       
       0x7fe2b4c8 
       —▸ 
       0x7fe2be50 
       ◂— 
       'HTTP_COOKIE=uid=bjtsPYnEJz'
      

       0b
       :
       002c
       │       
       0x7fe2b4cc 
       —▸ 
       0x7fe2be6b 
       ◂— 
       'GATEWAY_INTERFACE=CGI/1.1'
      

       0c
       :
       0030
       │       
       0x7fe2b4d0 
       —▸ 
       0x7fe2be85 
       ◂— 
       'CONTENT_LENGTH=31'
      

       0d
       :
       0034
       │       
       0x7fe2b4d4 
       —▸ 
       0x7fe2be97 
       ◂— 
       'CONTENT_TYPE=application/x-www-form-urlencoded'
      

       0e
       :
       0038
       │       
       0x7fe2b4d8 
       —▸ 
       0x7fe2bec6 
       ◂— 
       'SCRIPT_FILENAME=/htdocs/web/session.cgi'
      

       0f
       :
       003c
       │       
       0x7fe2b4dc 
       —▸ 
       0x7fe2beee 
       ◂— 
       'REQUEST_URI=/session.cgi'
      

       10
       :
       0040
       │       
       0x7fe2b4e0 
       —▸ 
       0x7fe2bf07 
       ◂— 
       'REMOTE_ADDR=192.168.0.2'
      

       11
       :
       0044
       │       
       0x7fe2b4e4 
       —▸ 
       0x7fe2bf1f 
       ◂— 
       'REMOTE_PORT=45050'
      

       12
       :
       0048
       │       
       0x7fe2b4e8 
       —▸ 
       0x7fe2bf31 
       ◂— 
       'REQUEST_METHOD=POST'
      

       13
       :
       004c
       │       
       0x7fe2b4ec 
       —▸ 
       0x7fe2bf45 
       ◂— 
       'SCRIPT_NAME=/session.cgi'
      

       14
       :
       0050
       │       
       0x7fe2b4f0 
       —▸ 
       0x7fe2bf5e 
       ◂— 
       'SERVER_NAME=192.168.0.1'
      

       15
       :
       0054
       │       
       0x7fe2b4f4 
       —▸ 
       0x7fe2bf76 
       ◂— 
       'SERVER_ADDR=192.168.0.1'
      

       16
       :
       0058
       │       
       0x7fe2b4f8 
       —▸ 
       0x7fe2bf8e 
       ◂— 
       'SERVER_PORT=80'
      

       17
       :
       005c
       │       
       0x7fe2b4fc 
       —▸ 
       0x7fe2bf9d 
       ◂— 
       'SERVER_SOFTWARE=Mathopd/1.6b9'
      

       18
       :
       0060
       │       
       0x7fe2b500 
       —▸ 
       0x7fe2bfbb 
       ◂— 
       'SERVER_ID=LAN-1'
      

       19
       :
       0064
       │       
       0x7fe2b504 
       —▸ 
       0x7fe2bfcb 
       ◂— 
       'SERVER_PROTOCOL=HTTP/1.1'
      

       1a
       :
       0068
       │       
       0x7fe2b508 
       ◂— 
       0x0
      

以前做毕设的时候，要实现对cgi的模糊测试，就是将AFL生产的数据通过设计的数据结构转换成环境变量到cgi 中去执行。

小结

如何调试httpd使用fork+execute执行的cgibin，本质上可以抽象为：如何调试通过fork+execute调用的程序，办法是：

执行到fork函数，执行gdb命令：set follow-fork-mode child，使得gdb调试到子进程中。
执行gdb命令：set detach-on-fork off，使得gdb在调试子进程的时候挂起父进程，这样也方便并行调试。
执行到execute函数处，执行gdb命令：catch exec，捕获子进程通过execute调用执行cgi的事件。

更多【调试httpd通过fork+execute调用的cgibin程序】相关视频教程：www.yxfzedu.com

软件逆向- 调试httpd通过fork+execute调用的cgibin程序

httpd调用CGI上下文说明

调试原理

调试过程

小结

相关文章推荐

Markdown Editor

友情链接

课程目录

技术交流QQ群