✎小课堂黑板报
上期小课堂(【JSRC小课堂】Web安全专题(五)Web跨域数据安全风险及措施)JSRC核心白帽testivy师傅,分享了关于Web跨域数据安全领域的思考。 JSRC小课堂第152期,邀请到多次获得CTF国家级奖项的Kabeor师傅,为大家分享二进制Web安全漏洞的挖掘思路,同时邀请到京东安全实验室-牧者实验室负责人、麒麟开源框架发起人KJ做客JSRC小课堂,共同探讨二进制Web安全漏洞相关问题。 智能家居、智能网联车、智慧城市...物联网早已渗透到我们日常生活的方方面面,万物互联时代既蕴藏着机遇,也存在着网络安全挑战。本期JSRC小课堂将聚焦IoT 固件安全,从IoT固件基础知识和 经典案例两个方面,谈谈 二进制Web安全漏洞的挖掘思路 , 欢迎各位感兴趣的师傅一起交流。IoT 固件基本概念
据笔者归纳,目前Web服务器大致可以分为三类:传统服务器、 手机APP服务器 和 IoT固件服务器。 传统服务器我们一般相对熟悉,例如主流的tomcat,nginx,apache等。 手机APP服务器,即APP运行的服务器,更为准确的来讲,是让用户可以接受远端网络存取服务器上面内容的一种程序。 第三类IoT固件服务器是我们本次交流的重点内容。IoT固件主要分为嵌入式固件和基于OS的固件两种类型。IoT 设备的资源有限的情况下,常常使用自定义构建的嵌入式固件和该硬件进行交互。 随着 IoT 设备变得“更加智能”和“更加复杂”,即具备更的传感器、更高的数据处理和存储能力等,IoT设备对能够管理和利用新功能的软件的需求也在增长,因此又出现了基于OS的固件。即IoT 设备运行一个操作系统 (OS),以便给在硬件和设备上运行的其他软件之间提供一个抽象层,这类情况常见操作系统如busybox,linux等。IoT固件服务器漏洞挖掘实战
IoT固件的基本概念了解完毕,就要一起来学习下IoT固件服务器Web漏洞挖掘的实例了。IoT固件服务器Web应用模型分为混合云模型和独立嵌入式模型两类。
混合云模型中包含了厂商或者供应商提供的基于软件即服务(Software as a Service,SaaS)的Web应用,作用是同运行在嵌入式设备固件中的Web应用程序建立连接,然后,将数据从厂商的云服务器中同步到本地网络的嵌入式设备中。
嵌入式设备的Web应用在设备固件内部运行,以lighttpd或者nginx等程序作为嵌入式Web服务器,而不存在外部依赖。在打印机、VoIP电话和家庭路由器中都可以找到这些应用。通常情况下,用户输入直接发送到设备固件,如果未对用户输入进行验证或过滤,攻击者则可以向设备发起攻击尝试执行任意命令。在某些情况下,出于防止外部攻击或者便于管理的目的,嵌入式Web应用设计为仅在局域网(Local Area Network,LAN)环境中运行。这也是家用IoT、工控设备和商用设备中的典型情况。
IoT固件服务器从前端角度来看存在的漏洞和常规Web漏洞类似,包括弱口令、注入、越权、敏感信息泄露、XXE、XSS、CSRF等。笔者认为,从二进制固件角度进行漏洞挖掘较其他方式来说,是相对高效的。
获取IoT固件的方式非常丰富,最便捷的方式是在前端界面寻找端倪。下面我们以某个IPCamera进行举例:
通过shodan或zoomeye进行搜索可以找到暴露在公网上的网络摄像头,通过审计前端源码可以找到cgi格式的固件,具体如下图:
我们获取到固件后,就可以开始进行二进制层的固件漏洞挖掘。这里我们以京东安全实验室开发的qiling二进制模拟框架为例进行说明。
京东安全实验室的Qiling框架实现了在一台主机上模拟多种系统架构的需求。使用qiling对cgi固件进行fuzz,可以快速挖掘漏洞。具体操作详见下图:
关于二进制漏洞挖掘工具的具体用法,我们在本次课程交流中不再赘述,各位感兴趣的小伙伴儿可以查看qiling.io进行学习。我们衷心期望更多的漏洞是通过京东安全的qiling分析和挖掘的。
✎Web安全专题往期议题回顾
1. 【JSRC小课堂】Web安全专题(四)SRC漏洞挖掘技术之命令执行漏洞2. 【JSRC小课堂】Web安全专题(三)SRC漏洞挖掘技巧:三步走收集高质量信息
3. 【JSRC小课堂】Web安全专题(二)逻辑漏洞的burpsuite插件开发
4. 【JSRC小课堂】Web安全专题(一) 关注JSRC 获取更多“技术干货”
1401
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
