本文介绍了对国产SCADA软件的漏洞挖掘过程,通过分析其Web接口和WebSocket通信,发现了一个栈缓冲区溢出问题。在详细阐述漏洞成因后,讨论了如何利用该漏洞,包括绕过缓解措施、构造payload和寻找跳板指令。最后强调了此类漏洞在工控领域的潜在风险。
前言
近年来网络安全形势日渐严峻,国内外都开始对工控安全越来越重视,而工控领域由于常年来对安全的忽视,导致暴露出数量惊人的严重安全漏洞,更为严重的是,相当一部分厂商即使在漏洞披露出来后也没有能力去修复。本文从实战出发,通过一个国产的SCADA软件作为例子,来介绍对工控软件的漏洞挖掘方法,希望通过这篇文章能够让越来越多的安全研究员重视工控领域的安全。
漏洞挖掘
先简单画一个界面,快速组态一个工程并且运行后,可以发现该软件提供web接口去访问该操作界面。
局域网访问是默认开启的:
这部分的逻辑主要是NodeJS编写的,这种情况下,可以通过传统的web漏洞挖掘思路去分析存在的安全问题,例如XSS,CSRF,敏感信息泄露,越权等。(通过这个思路在这个软件挖到了相当多的漏洞)
分析其和服务端通信的数据包,可以发现还有一部分操作逻辑走的websocket协议,而这部分最后数据会直接传到一个用c/c++编写的程序中处理,于是想到分析该软件数据处理存在的问题。
不出意外,IDA分析后的几分钟之内直接定位了一个基于栈的缓冲区溢出问题。漏洞出在0x1功能码中,会将json中的value的值直接拷贝到栈上,导致缓冲区溢出:
漏洞利用
通过上面的分析可以知道,该漏洞是非常经典的栈缓冲区溢出漏洞。在利用这个漏洞之前,先要分析该二进制程序开启的缓解措施,幸运的是,该二进制文件都关闭所有的漏洞缓解措施了,这就非常方便我们对漏洞进行利用。
对于这类栈溢出漏洞,传统的方法是把shellcode部署在栈上,然后通过跳板指令jmp esp跳转到shellcode达到代码执行的目的。值得注意的是,由于payload是通过json进行传入的,所以shellcode和跳板指令(jmp esp)的地址不能大于0x7e,否则js那边会进行转码(实在找不到合适的jmp esp指令可以寻找合适的ROP替代)。
在这里,我们使用一个弹出对话框的payload进行测试,shellcode使用编码器进行编码来保证payload能够正常传到二进制程序中处理:
在内存中搜索特征码,寻找符合条件的跳版指令:
整理exp如下:
攻击效果为弹出一个"hello world"弹框:
总结
整个流程看下来,从漏洞发现和漏洞利用并没有多少技术含量,但是这类漏洞在工控领域软件层出不穷。这类漏洞轻则造成拒绝服务,重则造成远程代码执行。尤其是关键工业生产行业中,就算无法成功利用导致拒绝服务,也会造成重大损失。
PS:
之前在看雪发了很多怎么去发现工控软件漏洞的文章(国内估计也没多少人共享这类技术),但发现没有人多少关注,所以这次初步尝试把漏洞发现和漏洞利用放在一起说,但是工控领域是非常敏感的行业,有些东西能说,有些东西不能说,所以不可能面面俱到,也希望大家理解。
1144
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
