地狱怪客

二进制漏洞挖掘技术实战

文章来源:http://blog.topsec.com.cn/ad_lab/010fuzz/

作者:天融信阿尔法实验室 sys_cc

目录

0×00前言

0X01漏洞挖掘方法

0X02手动法漏洞挖掘

0X03通用FUZZ法进行漏洞挖掘:

0X04智能FUZZ法进行漏洞挖掘:

0X05总结

正文

0X00 前言:

关于二进制的漏洞研究,大体可以分为漏洞分析利用和漏洞挖掘两部分。关于漏洞分析利用的部分互联网可以搜索到大量文章,而漏洞挖掘的文章却寥寥无几。因此我在这里主要来讲一下如何对二进制软件进行漏洞挖掘。

0X01  漏洞挖掘方法:

漏洞挖掘,一种只追求结果不追求过程的工程。漏洞挖掘的方法很多,这里主要讲以下几种方法:
1.手动法漏洞挖掘
2.通用fuzz法漏洞挖掘
3.智能fuzz法漏洞挖掘

0X02手动法漏洞挖掘:

  • 什么是手动法挖掘:

手动法挖掘,就是不使用自动挖掘工具,手动分析软件可能出问题的地方。其中挖掘点是靠手动来寻找的,畸形数据也是手动来构造的。用这种发现软件漏洞的方法,一般称为手动法。

  • 手动法漏洞挖掘的优点:

手动测试不需要专业的fuzz工具,并且测试的漏洞主要是堆栈溢出漏洞,原理较为简单。因此手动挖掘的速度是非常快的,效率也是比较高的。可以在几十分钟内发现可利用的缓冲区溢出漏洞。

  • 手动法漏洞挖掘的缺点:

相对于文件格式漏洞难以挖掘。因为文件格式的处理逻辑一般都较为复杂,关于这一点手动挖掘方法效果不是很好。

  • 如何进行手动挖掘:

漏洞挖掘方法一般为:
1.确定挖掘点:
挖掘点,就是用于挖掘的点。什么样的点可以作为挖掘点呢?凡是用户可控的数据点都可以作为挖掘点。包括程序路径,输入消息,文件内配置信息,等等。由于是手动挖掘,因此挖掘点不适合选择的过于复杂。很明显office系列,各种图片声音等等这样复杂的文件格式,是不适合定位于手动挖掘点的。
2.对挖掘点填充畸形数据:找到挖掘点后,就可以对挖掘点填充各种畸形数据了。其中包括超长字符串,畸形字符,边界值数据等等。根据长期的挖掘经验来看,其中超长字符串的效果更好。并且超长字符串一般都为堆栈溢出,该漏洞一般情况下都是可以利用的。
3.程序是否发生异常:程序崩溃,程序退出等。
4.分析:如果发生异常,用反汇编工具和汇编级调试器深入分析(如WINDBG IDA OLLYDBG),找到异常原因,判断漏洞类型以及危害。

  • 手动挖掘方法举例:

下面以两个例子来进行手动挖掘举例。
例1: sdemo2.0 缓冲区溢出漏洞
漏洞编号:WooYun-2013-43556
链接http://www.wooyun.org/bugs/wooyun-2010-043556
软件介绍:S-Demo是一个大多被破解者用来作破解动画过程的软件,它可以记录你的屏幕上的任何动作及鼠标的移动过程,同时使用了较高的压缩率。当然压缩率可以选择,在正常的操作情况下,每分钟的生成的文件大小在200K左右。
漏洞简介:该文件录制后的源程序文件格式属于自定义文件格式。程序在密码验证的时候,取加密后的密码(下面称密文)放入内存栈中,在执行strcpy函数时,没有对密文进行长度检测,导致堆栈溢出。如果用户用sdemo播放器打开黑客构造特定的smv文件,可以导致任意代码执行。
挖掘思路:
1.选择挖掘点:我们这里选择密文的处理区域。
2.定位密文位置
逆向分析法:通过逆向分析,查看函数处理密文的文件所在位置。
对比法:如图(1),分别生成2个样本,密码不同。对比里面的信息,发现偏移为1A1H处数据不同,经过测试后发现这里就是密文信息。

图片1
 图(1)

3.构造畸形数据并测试:据经验,超长字符串为手动fuzz的首选畸形数据,该密文字符串是以0结尾的,我们用winhex手动把这个字符串修改的很长,来测试程序是否发生崩溃。(1A0处其实是一个校验,如果为0表示该样本没有密码,也就不会解析后面的数据了,如果为1表示该样本是有密码的) 修改前的数据 图(2)

图片2(图2)

我们把数据修改的很长的时候,发现程序崩溃了。图(3)为修改后的数据。

图片3

(图3)

4.分析崩溃信息:异常已经成功触发,下面我们用条实习详细分析一下异常的原理。如图(4),用OLLYDBG载入sdemo播放器S-Player.exe,然后打开我们构造的畸形文件。查看OLLYDBG的信息。这时候发现EIP的数值是43434343H,43H为C的ASCII码,也就是说EIP已经被我们所控制,一般情况下能控制EIP的漏洞都是可以利用的。

图片4

(图4)

如图(5)通过分析。我们定位到漏洞是由strcpy函数所导致,在这个函数没有控制esi所指向数据的大小,esi指向的数据过大后可导致缓冲区溢出,直接淹没缓冲区地址。

图片5

(图5)

如图(6)。调试,当路过strcpy函数后,观测SEH链表。淹没以后,我们发现SE处理程序是43434343H,这个数据就是我们输入的畸形数据,也就是说,我们可以控制SEH了。

图片6

(图6)

5.漏洞利用:根据上面的分析原理,该漏洞是可以利用的。既然我们可以控制SEH, 那么我们可以通过pop pop ret来进行该漏洞的利用。首先我们要找控制SEH的地址。经过调试,我们发现密文偏移为4CH处的数据,就是SEH处理程序的地址。此时我们修改poc的数据如图(7)

图片7

(图7)

我们验证下,将数据修改为:EEEEEEEEH,(48H修改为FFFFFFFFH,表示链表的尾部)此时被淹没的SEH链表。如图(8)

图片8

(图8)

程序执行SH处理程序后,堆栈地址是

FFFFFFFF 指向下一个SEH记录的指针,正是我们文件结构内的数据。该数据我们可以控制。下面我们的目标就是要运行到这个指令(数据FFFFFFFFH)。 因此我们只要在内存中选择pop pop ret类似的指令,就可以把堆栈前2个地址pop掉,然后返回这个指令所在的地址(数据FFFFFFFFH所在的地址)执行这里的指令了。我的系统是windows SP XP3,在我的系统中,我找到了这样一段代码。他的地址7FFA1571H,代码如图(9):

图片9

(图9)

也就是说,我们让SEH地址为7FFA1571H,程序异常后,执行了这一段代码,然后eip返回到指令FFFFFFFFH。我们再把FFFFFFFFH这个数据修改成我们要执行的代码,就可以利用了。这时候我们把FFFFFFFFH修改为90909090H.测试下 如图(10)

图片10

(图10)

这时候我们发现eip已经成功执行到这里。即为可以利用了。只要把我们的shellcode放在这里就可以了。

6.EXP开发:这里我们开发了一个小巧的exploit生成工具,可以写自定义的shellcode代码,生成演示例子按钮是弹出计算器的代码。程序如图(11)

图片11

(图11)

我们运行演示例子会发现,当程序载入了exp.smv文件后,弹出来了计算器。如图(12)如果这个代码不是一个执行计算器的代码,而是一个病毒呢?

图片12

(图12)

例2:易语言5.11的缓冲区溢出漏洞
漏洞编号: WooYun-2013-44371
链接:http://www.wooyun.org/bugs/wooyun-2010-044371
漏洞分析:
在处理函数的时候,未对长度进行有效检测,可导致缓冲区溢出。执行特定构造的源程序,打开程序即可触犯漏洞,可导致任意代码执行。
挖掘思路:
1.安装易语言后,分析其挖掘点。各种编辑框,输入信息等等都可以作为挖掘点,效果最好,影响最大的挖掘点,还要属于易语言工程文件(.E文件)。
2.超长长度字符串一般都可作为挖掘点的首选。我这里对“信息框”控件做一次手动的挖掘展示。新建一个窗口,拖放一个按钮。双击按钮后弹出代码编辑区。这里输入信息框 (“xxxxxxxxxxxxxxxxx”, 0, ),然后观看效果。如图(13)

图片13

(图13)

下一步,我们手动尝试把变量字符串变得很长,很显然,xxxxxxxx这里就是变量字符串,我们输入很长的字符串(大约2000H个) 保存。然后打开易语言,载入这个.E源文件(或者直接打开.E源文件也可以),发现程序莫名其妙的退出了。我们用调试器OllyDbg打开易语言程序,然后载入这个我们构造的.E源文件。如图(14)

图片14

(图14)

这时候发现,EIP已经为78787878,已经被我们所控制。看一看SEH链表,会发现SEH链表已经被我们所控制。如图(15)

图片15

(图15)

接下来就可以用pop pop retn的方法来利用了。原理和上面相同。程序有一些自校验,解决办法:第一种是对shellcode进行编码,直接在.E源码内增加编码后的shellcode。第二种逆向易语言自校验算法并尝试突破,直接用winhex等工具对.E文件修改shellcode,在修改自校验相关代码。绝大部分情况下,第一种更为容易些。

0X03 通用fuzz法进行漏洞挖掘:

  • 什么是通用FUZZ:

在不研究文件格式的情况下,用自动化测试工具对目标程序进行fuzz测试。

  • 通用FUZZ的过程:

通用fuzz的步骤如下:
1.选取目标文件。
2.用我们的工具对目标文件的格式进行变异,生成大量的畸形样本。
3.让程序分别载入并解析这些畸形样本,监测程序是否会触发异常。
4.通过逆向分析这些异常样本,查看是否是漏洞同时确定危害级别。

  • 通用FUZZ优点:

上手容易,不需要了解文件格式即可对目标进行漏洞挖掘。全自动化,效率很高。

  • 通用FUZZ缺点:

测试深度不够,只适合一些文件结构较为简单的文件格式,对复杂的文件格式无能为力。

  • 通用FUZZ重点:

评价一个通用fuzz工具的好坏,一般考虑以下两个方面
1.生成的样本是否足够畸形:只有样本足够畸形,才能保证覆盖面足够大,才能挖掘出更多的安全隐患。
2.监控功能是否足够的强大准确:通用fuzz的监控模块可以准确的监控到程序运行时所发生的异常。不误报,不漏报。

  • EASYFUZZER介绍:

EasyFuzzer是一款精简高效的模糊测试工具。目前只支持文件格式的模糊测试。支持通用fuzz格式和智能fuzz格式。目前最高版本为1.5。要求运行环境为windows xp sp3 32位。下载地址:http://www.asm64.com/Soft/EasyFuzzer1.5BETA.zip

Easyfuzzer特点:
容易:不需要什么配置,非常容易上手,使用也非常简单。
精简:为了容量和速度,软件采用100%汇编语言编写。排除了以往fuzzer的无用功能。绿色软件,无毒无害。
高效:由于采用汇编语言编写,并且支持多线程fuzz和分布式fuzz,因此速度极快,效率极高。
灵活:大家在用其他工具fuzz时候,经常会把一些正常的某些行为报成异常行为,原因是一些非异常的“异常”被fuzzer捕捉到了。EasyFuzzer具有忽略异常调试功能,这样大大降低了 fuzzing时的误报率。
高级:支持智能fuzz,可以由用户自定义文件格式样本。可以挖掘复杂文件格式的漏洞。

程序功能简介:

图片16

(图16)

主窗口如图(16):
样本文件:通用fuzz测试时,根据该样本来生成各种畸形样本。选取一个正常的样本即可。为了提高测试速度,样本应该包含尽量多的数据结构,而样本的容量也应该尽量小。
目标路径:存放生成畸形样本的文件路径。
后缀名:样本的后缀名。
宿主程序路径:要挖掘程序的路径。如果程序启动需要参数,请把参数输入到后面的编辑框中。
对于通用fuzz,提供了两个生成样本的引擎
引擎1:主要针对整数溢出fuzz而开发的引擎。适合文件格式较小的样本,如果文件格式较大请选择挖掘范围。否则会生成太多的测试样本,影响测试效果。
引擎2:主要针对堆栈缓冲区溢出而开发的引擎。如果你的时间比较充沛,可以选择后面的x2 x4 x16选项。这样样本生成量就会增加,测试深度增加。该选项可以复选。例如如果全部选择则表示样本量*128倍。在1.5版本下,这样要生成大约25万个样本。
生成文件:(针对通用fuzz而言)根据所选择的样本来生成文件。
Fuzzing:开始fuzzing测试。
停止:提前结束fuzz测试。
总在最前面:如果讨厌fuzz的时候,新启动窗口挡住我们的程序,可以选择这个选项。

图片17

(图17)

fuzz选项窗口如图(17):
运行时间:
样本监控的时间,超过这个时间没有监控到异常程序就会退出。根据你的硬件配置和目标程序来选择。过小的时间会导致测试无法正常执行,而过大的时间又导致资源的浪费。
开启速率:样本启动速率,就是多长时间程序开启一次。这个时间也是根据你的机器配置和目标程序来选择。如上图运行时间为2000ms,开启速率为500ms,那就是相当于程序是保持4线程运行。
异常日志有效路径:存放异常日志的路径。当程序发生异常的时候,异常日志都会存放在所选路径。
忽略以下异常:有时候由于要挖掘程序的设计问题,正常情况下也会抛出一些异常。这个功能就是忽略这些异常,不截获这些异常。减少误报,提高效率。
开启自定义样本功能:可以接受第三方程序生成的畸形样本。也可以用于继续fuzz上一次没有fuzz完毕的样本。只需填写样本总数和样本开始数即可。
开启分布式挖掘:用于多台机器(或者虚拟机)挖掘一个程序。比如一个程序需要测试10000个样本,如果你开启5个虚拟机,那么在这5个虚拟机都安装上该软件,机器总数写5,机器编号分别写1,2,3,4,5 然后每一个虚拟机只需要测试2000个样本即可完成任务。
智能fuzz窗口:如图(18)该窗口比较简单,只是一个代码编辑区。输入代码后填写后缀名。点击确认即可生成样本。

图片18

(图18)

  • 通用FUZZ漏洞挖掘举例:

下面举一个通用fuzz的例子,用easyfuzzer来进行软件的漏洞挖掘。我们选取的目标仍然为sdemo 2.0。
挖掘过程:样本的生成:首先,我们生成一个非常小的正常样本文件。命名为sample.smv。然后,打开easyfuzzer,填写要生成指令的一些参数,前面已经做了详细说明。具体如图(19)

图片19

(图19)

我们这里选择引擎2来生成样本,如上图所示,这时候已经生成完毕。图(20)为生成的样本

图片20

(图20)

样本的测试:配置信息默认即可,这时候我们点击fuzzing,对样本进行fuzz。下图是fuzz过程 如图(21)

图片21

(图21)

时间问题,提前结束了测试。这时候主窗口已经显示了一些监控结果。如图(22)随便打开一个异常日志,里面存有出错样本ID和一些出错的信息。之后我们找到该ID的样本验证下,程序果然崩溃了。

图片22

(图22)

0X04 智能fuzz法进行漏洞挖掘:

  • 智能FUZZ介绍

什么是智能fuzz:智能fuzz是相对于通用fuzz而言的。通用fuzz虽然在简单文件格式的fuzz下做到了快,狠,准的优点。但是对于复杂文件格式就无能为力了。因为复杂文件格式中有大量的结构校验。对于这种校验,通用fuzz生成的样本大部分是无效的。因此这里引用了智能fuzz。智能fuzz是对文件的结构进行分析,编写出表述文件结构的代码。然后fuzzer工具根据该代码的约束生成畸形样本,接下来就和通用fuzz相同了:执行畸形样本,监控异常。
智能fuzz的优点:执行效率高,效果好。可以挖掘其他方法挖掘不到的软件漏洞。
智能fuzz缺点:需要深入研究相应的文件格式,并写出相应的文件格式脚本。该过程需要的时间较长。
智能fuzz的步骤:
1.研究要挖掘程序处理的相应文件格式,包括该格式的各种数据结构,约束规则等信息。
2.根据fuzzer规定的代码规则,编写相应规则的代码,来解析当前文件格式的结构。
3.用fuzzer工具通过我们写的代码,生成大量的畸形样本。
4.让fuzzer 执行并监控被挖掘程序处理畸形样本的运行情况,检测程序是否发生异常,如果异常保留异常样本和相关信息。
5.用OLLYDBG WINDBG IDA等工具深入分析崩溃信息,查看是否是漏洞同时确定危害级别。

  • EASYFUZZER 智能FUZZ模块介绍:

下面举一个智能的例子,用来进行软件的漏洞挖掘。首先说一下的代码规则。在easyfuzzer 1.5版本,最多支持条代码,每条代码的长度最多为字节。每一条代码必须用“;”结尾,参数之间用“,”分割。到1.5为止,easyfuzzer共支持4种指令。

第一种:_num,参数1,参数2,参数3,参数4;如:_num,100,1,0,32;_num有四个参数:
参数一:是数值, 支持10进制类型(如 100,1234567),也支持16进制类型(如100H,deaddeadh),16进制字母大小写都可以,后面需要加h来和10进制数据加以区分。
参数二:是数据是否可以变异,0为可以变异,1为不可以变异。变异是指以后生成的不同的样本中该数值都会进行变化。如果该数值设置成1(可以变异),那么对于参数一无论设置成什么值,也都没有什么区别了(参数一不进行解析了)
参数三:大小尾。 0表示小尾(小尾表示低位数据存储在低字节地址空间上),1表示大尾(大尾表示低位数据存储在高字节地址空间上)。比如12345678H  如果是大尾,在内存中是12345678,如果是小尾,在内存中是78563412,
参数四:数值的大小,目前支持8位,16位,32位3种类型。  也就是1字节,2字节,4字节。8位 如AAH。16位 如AABBH。32位 如AABBCCDDH。
以下表示都是正确的

第二种:_str,参数1,参数2,参数3 ,参数4, 参数5 ,参数6;如:_str,helloworld,1,0,0,32,1;该函数有六个参数
参数一:字符串值。直接填写字符串即可如 helloworld。
参数二:该数值是否变化。0表示变化,1表示不变化。
参数三:字符串的长度,单位为字节。
参数四:字符串类型,0表示STR类型,1表示HEX类型。如123456,如果是0,输出后内存中的数据是313233343536,如果是1,输出后内存的数据是123456.
参数五:前缀的大小。单位是字节数。有效值为0,8,16,32。前缀用来表示该字符串的长度。如果您不需要该数值,设置成0就可以。
参数六:前缀的格式, 大尾或者小尾。 0表示小尾,1表示大尾。

第三种:_cal,addr,参数1,参数2,参数3;  如: _cal,addr,32,0,3;该函数共有三个参数:
参数一:表示计算结果的位数。 可选值为 8,16,32   分别表示8位,16位,32位。(即1字节 2字节 4字节)
参数二:结果的大小尾, 0表示小尾,1表示大尾。
参数三:计算目标(函数序列号)  上面例子是3,就是计算第三个函数的偏移地址。

第四种:_cal,size,参数1,参数2,参数3,参数4;  如:_cal,size,32,0,4,6;该函数共有4个参数:
参数一:表示计算结果的位数。 可选值为 8,16,32   分别表示8位,16位,32位。(即1字节 2字节 4字节)
参数二:结果的大小尾, 0表示小尾,1表示大尾。
参数三:开始函数(函数序列号)
参数四:结束函数(函数序列号)。上例中,开始是4,结束是6,就是计算4-6 共3个函数的大小。注意:开始函数值不应该大于结束函数值

  • 漏洞挖掘举例:挖掘WINXP SP3系统播放器的内存破坏漏洞

我们的目标是windows xpsp3的媒体播放器我们这里选择一款简单的文件格式:Mid文件格式。下面是mid文件格式简介。
1.mid文件格式简介:一个MIDI文件基本上由两个部分组成,头块和轨道块。 具体信息请去互联网自行搜索。
2.头块:头块出现在文件的开头,头块看起来一直是这样的:4D5468640000 0006 ffff nnnn dddd。4D5468640000表示头块的标示值;ffff是文件的格式;nnnn 是MIDI文件中的轨道数;dddd 是每个4分音符节奏数。
3.轨道块:4D54726B xxxxxxxx aaaaaaaaaaaaaaaa。4D54726B 表示轨道块的表示值;aaaaaaaa表示轨道块;xxxxxxxx表示轨道块的大小。除了头块和轨道块的标示值以外,所有的结构都应该作为fuzz的结构,就是说内容可以变异。下面是我根据我对mid文件结构的了解,编写的一段代码:

代码的含义:
第一行代码:头信息为MThd,长度为6的字符串类型;
第二行代码:第一行代码解析字符串的长度,要求大尾形式。并且大小是16位;
第三行代码:一个16位的数据,数据需要变异;该数值为变异数值,所以第一个参数(FFFFH)是不解析的,写什么都一样;
第四行和第五行类似于第三行;
第六行类似与第一行;
第七行:取第八行代码生成数据的大小;
第八行:字符串类型,需要变异。表示轨道块。
代码写完毕后,我们点击确定来生成代码。很快代码就生成完毕了,如图(23)图(24),一共生成了11137个畸形样本。

图片21

(图23)

图片24

(图24)

下一步我们就可以开始fuzz了。如果你从来没有运行过系统播放器,请先运行配置一下,否则无法成功fuzz。另外,WinXP系统播放器是不支持多线程的,因此我们需要让开启速率的时间大于运行时间。这里我们把开启速率设置成2200毫秒,运行时间设置成2000毫秒。设置完毕后点击确定。如图(25)

图片25

(图25)

由于我们是靠代码生成的样本,因此就不需要模板文件了,如下图。然后点击FUZZING按钮。如图(26)

图片26

(图26)

为了观察方便,您可以把总在最前面按钮选上。下面就是fuzz过程了,这个过程时间较长。按照我的选项,完全测试完毕需要6个小时,为缩短时间你可以多开几个虚拟机选用分布式挖掘。在一个i7 pc级cpu中,完全可以开6个虚拟机(需要较大的内存)这样一个小时就足够了。由于时间原因,我这里提前结束了fuzz。好消息是,我已经找到畸形样本了。如图(27):

图片27

(图27)

这时候我们去看看日志。如图(28)。

图片28

(图28)

日志显示,因为除以0导致了崩溃。 我们下面手动测试下。找到00000000.mid 和00000043.mid样本。我们od来验证下,是不是因为除以0导致的崩溃。如图(29)图(30)。

图片29

(图29)

图片30

(图30)

正如日志信息所说,因为除以0导致崩溃。有关该漏洞的详细信息,您可以访问:http://www.wooyun.org/bugs/wooyun-2010-060863。

0X05 总结:

关于二进制漏洞挖掘,本文只讲述了最主流的三种漏洞挖掘方法。漏洞挖掘的方法有很多,没有哪种方法是可以否认的。只要能挖掘出漏洞的方法就为好方法。正因为如此,与其说漏洞挖掘是一门技术,不如说他是一门艺术。更多的漏洞挖掘方法,有待大家去探索与发现。

最后说一下对于新手的一些建议:懂开发,这样便于我们从程序员的思维上去理解程序,知彼知己方能百战不殆。懂逆向,善于调试程序,了解代码最底层的运行机制。多分析漏洞,举一反三,触发灵感。多尝试挖掘漏洞,而不是纸上谈兵,经验最重要。

码字很辛苦,转载请注明来自人生在世《二进制漏洞挖掘技术实战》

评论