<div dir="ltr"><div class="gmail_quote"><div dir="ltr">Hi,<div><br></div><div>I am trying to do a security research experiment on FreeBSD.</div><div>I try to test the Nginx Vulnerability CVE-2013-2028 on FreeBSD 10.1 x86-64, with Nginx 1.3.9/<a href="http://1.4.0.">1.4.0.</a></div><div>(<a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-2028" target="_blank">https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-2028</a>)</div><div><br></div><div>However, most exploit samples can succeed on Linux, but not FreeBSD. </div><div>The basic idea for the exploit, is to send a packet with a very large chunk size, making the victim process stack-overflow. After Nginx's many crashes, the attacker can find enough gadgets to launch a return-oriented programming attack.</div><div><br></div><div>However, it is hard to let Nginx worker process crash (due to overwritten return address) on FreeBSD. Process crash is the first step of the whole exploit. I do the experiment on both local and remote (LAN) machines.</div><div><br></div><div>This exploit requires:</div><div>-----------------------------------------------------------------</div><div>This also includes an IP fragmentation router to make the attack possible on WANs. Nginx does a non-blocking read on a 4096 byte buffer, and typical MTUs are 1500, so IP fragmentation is needed to deliver a large TCP segment that will result in a single read of over 4096 bytes.</div><div>------------------------------------------------------------------</div><div><br></div><div>Any comments/suggestions on this, just to make the victim process crash?</div><div><br></div><div>Here are two exploit code examples, which can run against Linux target, but fail to make the Nginx worker process crash on FreeBSD:</div><div><br></div><div><a href="http://www.scs.stanford.edu/brop/" target="_blank">http://www.scs.stanford.edu/brop/</a><br></div><div><a href="http://www.scs.stanford.edu/brop/nginx-1.4.0-exp.tgz" target="_blank">http://www.scs.stanford.edu/brop/nginx-1.4.0-exp.tgz</a><br></div><div><br></div><div><a href="https://www.exploit-db.com/docs/27074.pdf" target="_blank">https://www.exploit-db.com/docs/27074.pdf</a><br></div><div><a href="http://seclists.org/fulldisclosure/2013/Jul/att-90/ngxunlock_pl.bin" target="_blank">http://seclists.org/fulldisclosure/2013/Jul/att-90/ngxunlock_pl.bin</a><br></div><div><br></div><div><br></div><div>Thanks very much for your time!!</div><div><br></div><div>Best,</div><div>Peter</div></div>
</div><br></div>