timo_网络设备漏洞分析技术研究

始芮优

2017/11/14 发布于 技术 分类

介绍 GSM、UMTS、LTE 伪基站概况,以及如何利用伪基站实现中间人攻击、仿冒手机身份、拦截短信,完成对手机和网络账户的快速入侵。

文字内容
1. • 研究背景 • 研究内容 • 总结
2. Part. 01 研究背景 2
3. 探索⼀切、攻破⼀切 时间 2014-04 2014-11 2015-09 2015-10 2015-12 2016-01 2016-08 近年有关网络设备的安全事件 事件 思科(cisco)和瞻博(juniper)发现存在heartbleed漏洞 卡巴斯 基实 验室 发布 报告 披露 黑暗 能量(BlackE nergy)可 以攻击思科(cisco)路由器 火 眼 ( fireeye )发 布 了有 关 思科 ( cisco ) 路 由器 SYNful Knock后门的报告 安全公司volexity的Steven Adair发现了攻击思科(cisco) web vpn的案例 瞻博(juniper)发现漏洞: 万能密码登录设备( CVE-20157755)、可解密VPN流量(CVE-2015-7756) @esizkur 发现飞塔防火墙(Fortigate)存在ssh未声明账户 漏洞(CVE-2016-5125) 方程式针对防火墙攻击的工具泄露 3
4. 探索⼀切、攻破⼀切 网络设备漏洞特点 (ASA) Dos Bypass 其他 2014.102014.12 9 1 8 2015 9 3 3 2016.12016.6 4 1 1 思科防火墙asa系统漏洞数目 (CISCO IOS) Dos Bypass 其他 2014 32 2 7 2015 68 3 3 2016.12016.5 15 0 2 思科ios系统漏洞数目 4
5. 探索⼀切、攻破⼀切 研究历史 • Attacking Network Embedded System Felix ‘FX’ Lindner 2002 • The Holy Grail Cisco IOS Shellcode And Exploitation Techniques Michael Lynn 2005 • Cisco IOS Shellcodes Gyan Chawdhary, Varun Uppal 2007 • Cisco IOS - Attack & Defense. The State of the Art Felix ’FX’ Lindner 2008 • Router Exploitation Felix ’FX’ Lindner 2009 • Fuzzing and Debugging Cisco IOS SebasEan Muniz, Alfredo Ortega 2011 • Killing the Myth of Cisco IOS Diversity Ang Cui, JaEn Kataria, Salvatore J. Stolfo 2011 • Breaking Bricks and Plumbing Pipes:Cisco ASA a Super Mario Adventure Alec Stuart- Muirk 2014 • Cisco IOS shellcode:all-in-one George Nosenko 2015 • Execute my packet David Barksdale,Jordan Gruskovnjak,Alex Wheeler 2016 5
6. Part. 02 研究内容 6
7. 探索⼀切、攻破⼀切 研究步骤 获取 固件 固件 patch 固件 解包 真机 调试 静态 分析 模拟 网络 模拟 系统 模拟 7
8. 探索⼀切、攻破⼀切 获取固件 • 从官网下载 • 通过网络从设备上拷贝到电脑上 • 从设备的存储模块读 • 从网上找网友的分享 8
9. 探索⼀切、攻破⼀切 8
10. 探索⼀切、攻破⼀切 Some loader vmlinuz initrd ASA固件解包 Direct booting from floppy is no longer supported. gzip压缩的rootfs.img 9
11. 探索⼀切、攻破⼀切 lina • $ cpio -id < rootfs.img 10
12. 探索⼀切、攻破⼀切 lina 10
13. 探索⼀切、攻破⼀切 lina • $ cpio -id < rootfs.img • $ ls /asa/bin/ • coredump_helper lina lina_monitor 10
14. 探索⼀切、攻破⼀切 ASA系统模拟&调试 11
15. 探索⼀切、攻破⼀切 IOS固件解包 12
16. 探索⼀切、攻破⼀切 IOS固件解包 12
17. 探索⼀切、攻破⼀切 IOS系统模拟&调试 13
18. 探索⼀切、攻破⼀切 网络模拟 14
19. 探索⼀切、攻破⼀切 真机调试 15
20. 探索⼀切、攻破⼀切 真机调试 asa924-k8.bin quiet loglevel=0 auto => rdinit=/bin/sh 15
21. 探索⼀切、攻破⼀切 设备调试命令 16
22. 探索⼀切、攻破⼀切 设备调试命令 16
23. 探索⼀切、攻破⼀切 CVE-2016-1287 • Cisco ASA 5500 Series Adaptive Security Appliances • Cisco ASA 5500-X Series Next-Generation Firewalls • Cisco ASA Services Module for Cisco Catalyst 6500 Series Switches • Cisco 7600 Series Routers • Cisco ASA 1000V Cloud Firewall • Cisco Adaptive Security Virtual Appliance (ASAv) • Cisco Firepower 9300 ASA Security Module • Cisco ISA 3000 Industrial Security Appliance 17
24. 探索⼀切、攻破⼀切 IKEv2协议 18
25. 探索⼀切、攻破⼀切 使用Scapy构造POC 19
26. 探索⼀切、攻破⼀切 漏洞触发 20
27. 探索⼀切、攻破⼀切 漏洞利用 21
28. 探索⼀切、攻破⼀切 ikev2 daemon 堆块变化 ikev2 fragment parse 溢出 合并 22
29. 探索⼀切、攻破⼀切 ikev2 daemon 堆块变化 ikev2 fragment parse 溢出 合并 22
30. 探索⼀切、攻破⼀切 ikev2 daemon 堆块变化 ikev2 fragment parse 溢出 合并 22
31. 探索⼀切、攻破⼀切 获取代码执行权 23
32. 探索⼀切、攻破⼀切 获取代码执行权 23
33. 探索⼀切、攻破⼀切 GetShell 24
34. 探索⼀切、攻破⼀切 利用稳定性问题 • IP数据包分片 • 其他进程干扰 25
35. 探索⼀切、攻破⼀切 可能的解决办法 • 控制数据包的大小,使IP包数据不大于MTU • Defragment时占位的attribute尽可能的多 26
36. 探索⼀切、攻破⼀切 网络设备利用时存在的问题 • Arm,PowerPC,Mips架构设备的缓存一致性问题 • 依赖硬编码,需要知道具体的固件版本 • 网络环境的影响 27
37. 探索⼀切、攻破⼀切 缓存一致性问题 28
38. 探索⼀切、攻破⼀切 缓存一致性问题 28
39. Part. 03 总结 39
40. 探索⼀切、攻破⼀切 总结 • 网络协议种类多,协议构成复杂,出现漏洞的部分往往是很“偏”的部位 • 还原漏洞触发需要一定的网络环境 • 网络设备固件版本多 • 分析不同的固件时,要重新识别功能函数 30
41. THANKS