遠(yuǎn)程代碼執(zhí)行漏洞的探討安全小課堂第十二期

1、遠(yuǎn)程代碼執(zhí)行漏洞的探討2016-05-27 京東安全應(yīng)急響應(yīng)中心安全小課堂第十二期遠(yuǎn)程代碼執(zhí)行漏洞因其簡單的特點(diǎn)，流行于各大專家genxor和唯品會安全專家張劍，來和大家聊一聊遠(yuǎn)程代碼執(zhí)行漏洞。豌豆妹能說說遠(yuǎn)程代碼執(zhí)行漏洞的原理么？小新由于開發(fā)人員編寫源碼，沒有針對代碼中可執(zhí)行的特殊函數(shù)入口做過濾，導(dǎo)致客戶端可 以提交惡意構(gòu)造語句提交，并交由服務(wù)器端執(zhí)行。命令注入攻擊中WEB服務(wù)器沒有過濾 類似system(),eval()，exec()等函數(shù)是該漏洞攻擊成功的最主要原因。豌豆妹那現(xiàn)狀呢？遠(yuǎn)程代碼執(zhí)行是我的一把備用鑰匙，你的一不留神我就能輕易出入你們家，運(yùn)氣好趕上框架級應(yīng)用那備用鑰匙就不是一把

2、了，甚至提權(quán)小丸子因其簡單的特點(diǎn)，流行于各大圈?，F(xiàn)在最主要的，也是目前案例最多的，可能是struts2的利用了。再就是去年的java反序列。反序列化這個(gè)東西， 其實(shí)是一門老手藝了，很久以前php就流行過相關(guān)利用，具體可以參看super hei、fly。比如php里面unserialize函數(shù)的利用。系統(tǒng)層面早期的棧溢出，MS03-026、MS04-011、MS05-039、MS06-040、MS08-067。葫蘆娃遠(yuǎn)程代碼執(zhí)行出現(xiàn)的范圍較廣，一般的應(yīng)用程序，如瀏覽器，adobe flash player，還有操作系統(tǒng)都會有相關(guān)的漏洞導(dǎo)致遠(yuǎn)程代碼執(zhí)行。近年來遠(yuǎn)程代碼執(zhí)行方面的漏洞，出 鏡最多的可

3、能就屬struts2了，這個(gè)框架在國內(nèi)應(yīng)用于各大門戶網(wǎng)站?，F(xiàn)在android也出 現(xiàn)了很多遠(yuǎn)程代碼執(zhí)行的漏洞。像堆溢出，棧溢出，整型溢出，類型混淆，use after free，訪問越界，格式化字符串等都會導(dǎo)致遠(yuǎn)程代碼執(zhí)行。2豌豆妹那遠(yuǎn)程代碼執(zhí)行漏洞出現(xiàn)的形式有哪些呢？哆啦A夢web層面先說java。比如利用表達(dá)式注入、調(diào)用反射類、xslt注入、服務(wù)端模板注入、操控容器的classLoader等。php層面的話，比如利用一些危險(xiǎn)函數(shù)比如system、shell_exec、passthru等。小新還有一種形式，就是shellshock那種漏洞，bash的命令執(zhí)行，實(shí)際上是加載不安全的環(huán) 境變量導(dǎo)

4、致，bash的代碼底層在解析環(huán)境變量的時(shí)候出現(xiàn)問題，導(dǎo)致可以注入任意代 碼，這個(gè)漏洞有點(diǎn)兒類似于php里面的create_function命令執(zhí)行漏洞，根源都是由于底層函數(shù)對用戶傳入的變量沒有嚴(yán)格過濾，導(dǎo)令注入。3豌豆妹大家都知道遠(yuǎn)程代碼執(zhí)行漏洞都是簡單，能詳細(xì)給說說到底有多大么？小丸子命令執(zhí)行，對于攻擊者來說是打開缺口的絕好方法，可長驅(qū)控制內(nèi)網(wǎng)，甚至葫蘆娃概述就是攻擊者可以通過遠(yuǎn)程調(diào)用的方式來讓被攻擊計(jì)算機(jī)設(shè)備執(zhí)行惡意程序，從而控制遠(yuǎn)程計(jì)算機(jī)；從范圍來講，遠(yuǎn)程代碼執(zhí)行漏洞的影響范圍很廣，例如去年關(guān)于安卓libStagefright的一系列漏洞號稱影響95%安卓手機(jī)的安全，攻擊者只需給受影響系

5、統(tǒng)發(fā)送條彩信就可以控制手機(jī)。4豌豆妹那如何預(yù)防遠(yuǎn)程代碼執(zhí)行漏洞的侵入呢？能說說防御措施么。小新開發(fā)程序時(shí)，要假定所有輸入都是可疑的，嘗試對所有輸入提交可能執(zhí)行命令的構(gòu)造語 句進(jìn)行嚴(yán)格的檢查或者控制外部輸入，系統(tǒng)命令執(zhí)行函數(shù)的參數(shù)不允許外部傳遞。哆啦A夢簡單來說，卡住入口點(diǎn)很關(guān)鍵。對輸入的數(shù)據(jù)不僅要驗(yàn)證數(shù)據(jù)的類型，還要驗(yàn)證其格式、長度、范圍和內(nèi)容。小丸子我舉個(gè)比較詳細(xì)的例子。拿struts2來舉例。在執(zhí)行ognl之前設(shè)置黑，在struts-default.xml配置struts.excludedClasses限制一些類。也就是說，卡住ognl的入口，設(shè)置黑，過濾其執(zhí)行命令的通道。除了安全編碼，在

6、安全應(yīng)急時(shí)，要抓住漏洞特征，快速定位有漏洞的程序和系統(tǒng)；在補(bǔ)丁程序未開發(fā)完時(shí)，抓住攻擊代碼特征，對遠(yuǎn)程輸 入數(shù)據(jù)進(jìn)行分析，驗(yàn)證；及時(shí)更新程序，打補(bǔ)?。黄渌姆椒ň褪浅Ｒ?guī)的waf之類了。5豌豆妹能給大家分享下遇到過的比較典型的案例么？哆啦A夢我就以我的理解總結(jié)下wooyun上的三星默認(rèn)輸入法遠(yuǎn)程代碼執(zhí)行。豌豆妹愿聞其詳。 哆啦A夢攻擊前提是攻擊者能夠劫持流量：首先，該輸入法在更新語言包時(shí)，對下載的文件校驗(yàn) 不嚴(yán)格，沒有簽名，中間人可以同時(shí)篡改下載文件和對應(yīng)的hash值繞過校驗(yàn)；然后，語 言壓縮包中的文件是由 system user寫入的，有很高的權(quán)限，可以寫入很多位置；再者，odex文件完整性校

7、驗(yàn)機(jī)制有問題，只是校驗(yàn)odex文件的crc32和modify time；由以上第二點(diǎn)，包含在語言zip包中的惡意odex文件就可以覆蓋/data/dalvik-cache/目錄 下的odex；由第三點(diǎn)，保證惡意odex的crc32和modify time和源odex文件一致，繞過odex文件校驗(yàn)，以system user權(quán)限執(zhí)行惡意的odex。豌豆妹hhha感謝360安全專家genxor和唯品會安全專家張劍，與我們分享寶貴經(jīng)驗(yàn)，撒花 咱們下期再見！jsrc_team京東安全應(yīng)急響應(yīng)中心動動手指，關(guān)注下唄 安全小課堂往期回顧：1、論安全響應(yīng)中心的初衷；2、安全應(yīng)急響應(yīng)中心之威脅情報(bào)探索；3、論安全漏洞響應(yīng)機(jī)制擴(kuò)展；4、企業(yè)級未授權(quán)訪問漏洞防御實(shí)踐