Pwn2own Miami:通过漏洞利用链实现对Ignition工控系统的代码执行

最新推荐文章于 2023-07-23 15:39:58 发布
最新推荐文章于 2023-07-23 15:39:58 发布
阅读量573 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/systemino/article/details/108099446
版权

020年1月,在S4会议上举行了首届Pwn2Own Miami比赛,目标是工业控制系统(ICS)产品。在比赛中,佩德罗·里贝罗(Pedro Ribeiro)和拉德克·多曼斯基(Radek Domanski)的团队使用了信息泄漏和反序列化漏洞,以在Inductive Automation Ignition 系统上执行代码。他们在比赛第一天赢得了25,000美元。现在可以从供应商处获得补丁程序,他们已经分享了以下漏洞利用代码和演示视频。

这篇文章描述了Pedro Ribeiro(@ pedrib1337)和Radek Domanski@RabbitPro)发现的一系列Java漏洞。这些漏洞已在一月份在ZDI的Pwn2Own Miami 2020比赛中使用。所描述的漏洞存在于8.0.0版(含8.0.7)及更高版本的Inductive Automation Ignition SCADA产品中。该漏洞最近由供应商发布了补丁,该供应商建议用户升级到8.0.10版本。以下是这些漏洞的验证视频:

https://youtu.be/CuOancRm1fg

Pwn2own Miami:通过漏洞利用链实现对Ignition工控系统的代码执行Pwn2own Miami:通过漏洞利用链实现对Ignition工控系统的代码执行

Automation Ignition 的默认配置可供未经身份验证的攻击者利用,成功的利用将实现Windows上的SYSTEM或Linux上的root的远程代码执行。

该漏洞利用链上的三个漏洞来实现代码执行:

1.未经授权访问敏感资源。 2.不安全的Java反序列化。 3.使用不安全的Java库。

该博客中的所有代码段都是通过反编译8.0.7版中的JAR文件获得的。

0x01  漏洞详情

在深入研究漏洞之前,让我们介绍一下有关Automation Ignition 和/system/gateway端点的背景信息。Automation Ignition 侦听大量的TCP和UDP端口,因为除了其主要功能外,奇热它还必须处理多种SCADA协议。

主要端口是TCP 8088和TCP / TLS 8043,它们用于通过HTTP(S)控制管理服务器并处理各种Ignition组件之间的通信。

有多个API端点正在侦听该端口,但我们关注的是在/system/gateway。该API端点允许用户执行远程功能调用。未经身份验证的用户只能调用少数几个。该Login.designer()函数是其中之一。它使用包含序列化Java对象的XML与客户端进行通信。它的代码位于com.inductiveautomation.ignition.gateway.servlets.Gateway类中。

通常,使用序列化的Java对象执行客户端-服务器通信可以导致直接执行代码,但是在这种情况下,并不是那么简单。在深入探讨之前,让我们看一下Login.designer()请求的数据信息

Pwn2own Miami:通过漏洞利用链实现对Ignition工控系统的代码执行

响应包

Pwn2own Miami:通过漏洞利用链实现对Ignition工控系统的代码执行

请求和响应包含序列化的Java对象,这些对象传递给可以远程调用的函数。上面的示例显示了对带有四个参数designer()的com.inductiveautomation.ignition.gateway.servlets.gateway.functions.Login类的函数的调用。

调用堆栈Login.designer()如下

com.inductiveautomation.ignition.gateway.servlets.Gateway.doPost()`
`com.inductiveautomation.ignition.gateway.servlets.gateway.AbstractGatewayFunction.invoke()`
`com.inductiveautomation.ignition.gateway.servlets.gateway.functions.Login.designer()

该Gateway.doPost()服务程序执行一些版本和完整性检查然后将请求发送到AbstractGatewayFunction.invoke(),其分析和验证它之前调用Login.designer(),如下图所示

public final void invoke(GatewayContext context, PrintWriter out, ClientReqSession session, String projectName, Message msg) { 
    String funcName = msg.getArg("subFunction"); 
    AbstractGatewayFunction.SubFunction function = null; 
    if (TypeUtilities.isNullOrEmpty(funcName)) { 
        function = this.defaultFunction; 
    } else { 
        function = (AbstractGatewayFunction.SubFunction)this.functions.get(funcName); 
    } 
    if (function == null) { 
        Gateway.printError(out, 500, "Unable
最低0.47元/天 解锁文章
systemino
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
pwn2own2020:通过接六个漏洞通过Safari破坏macOS内核
02-04
通过接六个漏洞通过Safari破坏macOS内核 总览 该存储库包含利用和技术细节,并。 有关更多信息,您还可以查看。 该存储库还包括成功利用。 如何繁殖 在exploits文件夹中使用python3运行HTTP服务器。 $ python3 -m...
漏洞利用:其他漏洞利用代码
02-05
当前漏洞利用(索引可能已过时) phpMoAdmin远程执行代码(CVE-2015-2208) LotusCMS远程执行代码(OSVDB-75095) ElasticSearch远程执行代码(CVE-2015-1427) ShellShock(httpd)远程执行代码(CVE-2014-6271) ...
如何利用漏洞无线撸服务器,对PWN2OWN上TP-LINK AC1750 路由器漏洞的利用分析
weixin_39733146的博客
08-11 1201
本文介绍了TP-Link AC1750智能Wifi路由器中发现的预身份验证的远程执行代码漏洞。该漏洞位于运行在TP-Link Archer A7(AC1750)路由器上的同步服务器守护程序中。攻击者可以通过路由器的LAN端远程利用此漏洞,而无需进行身份验证。同步服务器不响应网络请求,但会解析tdpServer守护程序写入共享内存中的某些数据。通过将精心选择的数据发送到tdpServer和适当的时间...
S2-052 远程代码执行漏洞检查利用
a1b2c3是弱口令
12-11 9207
2017年9月5日,Apache Struts发布最新安全公告,Apache Struts2的REST插件存在远程代码执行的高危漏洞,该漏洞由lgtm.com的安全研究员汇报,漏洞编号为CVE-2017-9805(S2-052)。Struts2 REST插件的XStream组件存在反序列化漏洞,使用XStream组件对XML格式的数据包进行反序列化操作时,未对数据内容进行有效验证,存在安全隐患,...
Pwn2Own黑客大会:攻陷特斯拉,30万美金带回家
mozhe_的博客
01-18 2096
据外媒报道,将于今年3月在加拿大温哥华举行的Pwn2Own CanSecWest安全峰会的组织者已经决定让参赛的安全研究人员现场参与攻击特斯拉Model 3汽车。而参与这个项目的研究人员将能够赢得不同金额的奖金,从3.5万美元到30美元不等,具体取决于他们使用的漏洞和针对的汽车系统Pwn2Own是目前全球最知名、奖金最丰厚的黑客大赛,由趋势科技(Trend Micro)的项目组ZDI(Zer...
Pwn2Own 2023迈阿密春季黑客大赛公布目标和奖金
smellycat000的专栏
12-06 1021
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士2023年2月14日至16日,以工控系统为主题的Pwn2Own 大赛将在迈阿密举行。本次比赛共分四个类别,且与往年不同,反映了ICS行业不断变化的现状以及SCADA系统目前面临的威胁。这四个类别是:OPC UA 服务器OPC UA 客户端数据网关Edge系统OPC UA 服务器类别OPC UA 是独立于平台的、基于服务的架构,它将单个OPC Cl...
[pwn]VMpwn:2020网鼎杯青龙组pwn boom2 wp
Breeze的博客
05-12 1万+
2020网鼎杯青龙组pwn boom2 wp 比赛的时候被特斯拉那道隐写恶心到了,导致一直在肝那道题,也没看pwn,赛后看了组内大佬的wp,感觉这道pwn也不是很难,于是自己又做了一遍。这道题总共80+队伍做出来,反而更难的pwn1 boom1却有200+队伍做出来,不得不说py真的很严重,赛后我看群里说比赛的时候好像有一份pwn1的exp在全网流通,有点小恶,但也无所谓,名词不重要,自己学到东西才是最重要的。 题目分析 首先检查一下安全策略: 安全策略全开,然后简单看一下逻辑: 执行之后让你输入co
CTF PWN-攻防世界CGfsb格式化字符串漏洞
道阻且长,行则将至。
07-23 1856
距离 2021 年年底短暂接触学习 CTF PWN 相关知识(CTF PWN-攻防世界XCTF新手区WriteUp)已经是快 2 年前的事了,这期间就连攻防世界社区的站点都发生巨大变化了……为了学习终端领域底层漏洞的挖掘和利用技术,继续积累 PWN 相关知识。
linux kernel pwn学习之堆漏洞利用+bypass smap、smep
seaaseesa的博客
03-01 4999
Linux kernel Heap exploit Linux内核使用的是slab/slub分配器,与glibc下的ptmalloc有许多类似的地方。比如kfree后,原来的用户数据区的前8字节会有指向下一个空闲块的指针。如果用户请求的大小在空闲的堆块里有满足要求的,则直接取出。 通过调试,可以发现,被释放的堆的数据域前8字节正好指向下一个空闲堆的数据域 与glibc下的ptmalloc...
PWN2OWN 2017 Linux 内核提权漏洞分析
omnispace的博客
05-17 2385
0.前言 在2017年PWN2OWN大赛中,长亭安全研究实验室(Chaitin Security Research Lab)成功演示了Ubuntu 16.10 Desktop的本地提权。本次攻击主要利用了linux内核IPSEC框架(自linux2.6开始支持)中的一个内存越界漏洞,CVE编号为CVE-2017-7184。 众所周知,Linux的应用范围甚广,我们经常使用的Androi
从零开始入门pwn(二):环境搭建
热门推荐
m0_51466347的博客
12-10 1万+
一.前言 前几天写了一些关于pwn的介绍以及一些前置知识,其实那些知识都是浅尝辄止就行,重点还得放在后续的做题中,边做边学不香吗,不仅有成就感还能快速熟悉pwn绝对不是因为没时间去专门学。 但是之前的前置知识主要还是为了给那些真正没有基础的小白一个相对平滑的入门曲线,对于真正想要入门pwn的同学来说,前置知识其实都已经掌握过了 ...
远程代码执行漏洞分析
kali_Ma的博客
11-08 3942
一、背景介绍 mpv项目是开源项目,可以在多个系统包括Windows、Linux、MacOs上运行,是一款流行的视频播放器,mpv软件在读取文件名称时存在格式化字符串漏洞,可以导致堆溢出并执行任意代码。 二、环境搭建 系统环境为Ubuntu x64位,软件环境可以通过两种方式搭建环境。 a. 通过源码编译,源码地址为: https://github.com/mpv-player/mpv/tree/v0.33.0 下载地址为:https://github.com/mpv-player/mpv/archive/
pwn_debug:旨在帮助快速构建对CTF Pwn游戏的利用
05-14
pwn_debug pwn_debug-基于pwntools的ctf pwns的辅助调试工具 建议您在获得“用法和安装”的完整说明。 这只是一个简单的描述。 入门 安装pwn_debug git clone https://github.com/ray-cp/pwn_debug.git cd pwn_...
Re2Own:著名的Pwn2Own的模仿
05-02
Pwn2Own的宝藏 该存储库/项目是每年在著名的cansecwest会议上举办的著名Pwn2Own竞赛的模仿,该竞赛的目标是跨越各种平台和主机体系结构的各种目标。 从逆向工程师的角度来看,该项目的大部分工作将集中于理解漏洞...
struts-pwn:Apache Struts CVE-2017-5638的漏洞利用
05-18
Apache Struts CVE-2017-5638的漏洞利用 用法 测试单个URL。 python struts-pwn.py --url 'http://example.com/struts2-showcase/index.action' -c 'id' 测试网址列表。 python struts-pwn.py --list 'urls.txt' ...
PPO算法,即Proximal Policy Optimization(近端策略优化).pdf
08-05
PPO算法,即Proximal Policy Optimization(近端策略优化),是一种在强化学习领域中广泛应用的策略梯度方法。由OpenAI在2017年提出,PPO旨在解决传统策略梯度方法中策略更新过大导致的训练不稳定问题。它通过引入限制策略更新范围的机制,在保证收敛性的同时提高了算法的稳定性和效率。 一、PPO算法简介 PPO算法的核心思想是通过优化一个特定的目标函数来更新策略,但在这个过程中严格限制策略变化的幅度。具体来说,PPO引入了裁剪(Clipping)和信赖域(Trust Region)的概念,以确保策略在更新过程中不会偏离太远,从而保持训练的稳定性。 二、PPO算法的主要变体 PPO算法主要有两种变体:裁剪版(Clipped PPO)和信赖域版(Adaptive KL Penalty PPO)。其中,裁剪版PPO更为常见,它通过裁剪概率比率来限制策略更新的幅度,而信赖域版PPO则使用KL散度作为约束条件,并通过自适应调整惩罚系数来保持策略的稳定更新。PPO算法,即Proximal Policy Optimization(近端策略优化),是一种在强化学习领域中广
GC032A datasheet(侵删)
08-05
GC032A datasheet(侵删)
opencv的概要介绍与分析
08-05
OpenCV (Open Source Computer Vision Library) 是一个开源的计算机视觉和机器学习软件库。它提供了大量的算法和函数,可用于图像处理、视频分析、特征检测、对象识别等多种应用。下面是一些关于 OpenCV 的资源描述,帮助您学习和使用这项强大的技术。 ### OpenCV 资源描述 #### 1. **官方文档和GitHub仓库** - **GitHub 仓库**:OpenCV 的官方 GitHub 仓库是获取最新代码、预训练模型、开发指南和示例代码的地方。这是了解 OpenCV 最新进展和功能的最佳起点。 - **官方文档**:OpenCV 的官方文档包含了详细的使用说明、API 参考和常见问题解答。 #### 2. **在线教程和课程** - **Codecademy**:Codecademy 提供了互动式的 OpenCV 课程,适合完全的新手。 - **freeCodeCamp**:freeCodeCamp 是一个非营利性组织,提供免费的编码课程,包括 OpenCV 基础。 #### 3. **书籍** - **《Learning
基于python3+opencv3做的中国车牌识别源码+文档说明+使用说明
最新发布
08-05
<项目介绍> 算法思想来自于网上资源,先使用图像边缘和车牌颜色定位车牌,再识别字符。车牌定位在predict方法中,为说明清楚,完成代码和测试后,加了很多注释,请参看源码。车牌字符识别也在predict方法中,请参看源码中的注释,需要说明的是,车牌字符识别使用的算法是opencv的SVM, opencv的SVM使用代码来自于opencv附带的sample,Stat - 不懂运行,下载完可以私聊问,可远程教学 该资源内项目源码是个人的毕设,代码都测试ok,都是运行成功后才上传资源,答辩评审平均分达到96分,放心下载使用! 1、该资源内项目代码都经过测试运行成功,功能ok的情况下才上传的,请放心下载使用! 2、本项目适合计算机相关专业(如计科、人工智能、通信工程、自动化、电子信息等)的在校学生、老师或者企业员工下载学习,也适合小白学习进阶,当然也可作为毕设项目、课程设计、作业、项目初期立项演示等。 3、如果基础还行,也可在此代码基础上进行修改,以实现其他功能,也可用于毕设、课设、作业等。 下载后请首先打开README.md文件(如有),仅供学习参考, 切勿用于商业用途。 --------
C++ PWN题解析:ZJCTF 2019 Login漏洞利用
"BUUCTF-PWN-[ZJCTF 2019]Login 是一个关于网络安全竞赛中的Pwn(破解)类题目,主要涉及到C++编程、汇编语言分析以及栈溢出漏洞的利用。" 该题目描述了一个登录系统,参赛者需要通过输入正确的账号和密码来访问...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值