不同角度看安全漏洞的分類和利用
網絡安全的核心目標是保障業務系統的可持續性和數據的安全性,而這兩點的主要威脅來自于蠕蟲的暴發、黑客的攻擊、拒絕服務攻擊、木馬。蠕蟲、黑客攻擊問題都和漏洞緊密聯系在一起,一旦有重大安全漏洞出現,整個互聯網就會面臨一次重大挑戰。雖然傳統木馬和安全漏洞關系不大,但最近很多木馬都巧妙的利用了IE 的漏洞,讓你在瀏覽網頁時不知不覺的就中了招。
安全漏洞的定義已經有很多了,我這里給出一個通俗的說法就是:能夠被利用來干“原本以為”不能干的事,并且和安全相關的缺陷。這個缺陷可以是設計上的問題、程序代碼實現上的問題。
一、不同角度看安全漏洞的分類
對一個特定程序的安全漏洞可以從多方面進行分類。
1. 從用戶群體分類:
◆ 大眾類軟件的漏洞。如Windows的漏洞、IE的漏洞等等。
◆ 專用軟件的漏洞。如Oracle漏洞、Apache漏洞等等。
2. 從數據角度看分為:
◆ 能讀按理不能讀的數據,包括內存中的數據、文件中的數據、用戶輸入的數據、數據庫中的數據、網絡上傳輸的數據等等。
◆ 能把指定的內容寫入指定的地方(這個地方包括文件、內存、數據庫等)
◆ 輸入的數據能被執行(包括按機器碼執行、按Shell代碼執行、按SQL代碼執行等等)
3. 從作用范圍角度看分為:
◆ 遠程漏洞,攻擊者可以利用并直接通過網絡發起攻擊的漏洞。這類漏洞危害極大,攻擊者能隨心所欲的通過此漏洞操作他人的電腦。并且此類漏洞很容易導致蠕蟲攻擊,在Windows。
◆ 本地漏洞,攻擊者必須在本機擁有訪問權限前提下才能發起攻擊的漏洞。比較典型的是本地權限提升漏洞,這類漏洞在Unix系統中廣泛存在,能讓普通用戶獲得最高管理員權限。
4. 從觸發條件上看可以分為:
◆ 主動觸發漏洞,攻擊者可以主動利用該漏洞進行攻擊,如直接訪問他人計算機。
◆ 被動觸發漏洞,必須要計算機的操作人員配合才能進行攻擊利用的漏洞。比如攻擊者給管理員發一封郵件,帶了一個特殊的jpg圖片文件,如果管理員打開圖片文件就會導致看圖軟件的某個漏洞被觸發,從而系統被攻擊,但如果管理員不看這個圖片則不會受攻擊。 #p#
5. 從操作角度看可分為:
◆ 文件操作類型,主要為操作的目標文件路徑可被控制(如通過參數、配置文件、環境變量、符號鏈接燈),這樣就可能導致下面兩個問題:
寫入內容可被控制,從而可偽造文件內容,導致權限提升或直接修改重要數據(如修改存貸數據),這類漏洞有很多,如歷史上Oracle TNS LOG文件可指定漏洞,可導致任何人可控制運行Oracle服務的計算機;
內容信息可被輸出,包含內容被打印到屏幕、記錄到可讀的日志文件、產生可被用戶讀的core文件等等,這類漏洞在歷史上Unix系統中的crontab子系統中出現過很多次,普通用戶能讀受保護的shadow文件;
◆ 內存覆蓋,主要為內存單元可指定,寫入內容可指定,這樣就能執行攻擊者想執行的代碼(緩沖區溢出、格式串漏洞、PTrace漏洞、歷史上Windows2000的硬件調試寄存器用戶可寫漏洞)或直接修改內存中的機密數據。
◆ 邏輯錯誤,這類漏洞廣泛存在,但很少有范式,所以難以查覺,可細分為:
條件競爭漏洞(通常為設計問題,典型的有Ptrace漏洞、廣泛存在的文件操作時序競爭)
策略錯誤,通常為設計問題,如歷史上FreeBSD的Smart IO漏洞。
算法問題(通常為設計問題或代碼實現問題),如歷史上微軟的Windows 95/98的共享口令可輕易獲取漏洞。
設計的不完善,如TCP/IP協議中的3步握手導致了SYN FLOOD拒絕服務攻擊。
實現中的錯誤(通常為設計沒有問題,但編碼人員出現了邏輯錯誤,如歷史上博彩系統的偽隨機算法實現問題)
◆ 外部命令執行問題,典型的有外部命令可被控制(通過PATH變量,輸入中的SHELL特殊字符等等)和SQL注入問題。
6. 從時序上看可分為:
◆ 已發現很久的漏洞:廠商已經發布補丁或修補方法,很多人都已經知道。這類漏洞通常很多人已經進行了修補,宏觀上看危害比較小。
◆ 剛發現的漏洞:廠商剛發補丁或修補方法,知道的人還不多。相對于上一種漏洞其危害性較大,如果此時出現了蠕蟲或傻瓜化的利用程序,那么會導致大批系統受到攻擊。
◆ 0day:還沒有公開的漏洞,在私下交易中的。這類漏洞通常對大眾不會有什么影響,但會導致攻擊者瞄準的目標受到精確攻擊,危害也是非常之大。
二、不同角度看待漏洞利用
如果一個缺陷不能被利用來干“原本”不能干的事(安全相關的),那么就不能被稱為安全漏洞,所以安全漏洞必然和漏洞利用緊密聯系在一起。
漏洞利用的視角有:
◆ 數據視角:訪問本來不可訪問的數據,包括讀和寫。這一條通常是攻擊者的核心目的,而且可造成非常嚴重的災難(如銀行數據可被人寫)。
◆ 權限視角:主要為權限繞過或權限提升。通常權限提升都是為了獲得期望的數據操作能力。
◆ 可用性視角:獲得對系統某些服務的控制權限,這可能導致某些重要服務被攻擊者停止而導致拒絕服務攻擊。
◆ 認證繞過:通常利用認證系統的漏洞而不用受權就能進入系統。通常認證繞過都是為權限提升或直接的數據訪問服務的。
◆ 代碼執行角度:主要是讓程序將輸入的內容作為代碼來執行,從而獲得遠程系統的訪問權限或本地系統的更高權限。這個角度是SQL注入、內存指針游戲類漏洞(緩沖區溢出、格式串、整形溢出等等)等的主要驅動。這個角度通常為繞過系統認證、權限提升、數據讀取作準備的。 #p#
三、漏洞發掘方法
首先必須清除安全漏洞是軟件BUG的一個子集,一切軟件測試的手段都對安全漏洞發掘實用。現在”黑客“用的各種漏洞發掘手段里有模式可循的有:
◆ fuzz測試(黑盒測試),通過構造可能導致程序出現問題的方式構造輸入數據進行自動測試。
◆ 源碼審計(白盒測試),現在有了一系列的工具都能協助發現程序中的安全BUG,最簡單的就是你手上最新版本的C語言編譯器。
◆ IDA反匯編審計(灰盒測試),這和上面的源碼審計非常類似,唯一不同的是很多時候你能獲得軟件,但你無法拿到源碼來審計,但IDA是一個非常強大的反匯編平臺,能讓你基于匯編碼(其實也是源碼的等價物)進行安全審計。
◆ 動態跟蹤分析,就是記錄程序在不同條件下執行的全部和安全問題相關的操作(如文件操作),然后分析這些操作序列是否存在問題,這是競爭條件類漏洞發現的主要途徑之一,其他的污點傳播跟蹤也屬于這類。
◆ 補丁比較,廠商的軟件出了問題通常都會在補丁中解決,通過對比補丁前后文件的源碼(或反匯編碼)就能了解到漏洞的具體細節。
以上手段中無論是用哪種都涉及到一個關鍵點:需要通過人工分析來找到全面的流程覆蓋路徑。分析手法多種多樣,有分析設計文檔、分析源碼、分析反匯編代碼、動態調試程序等。 #p#
四、漏洞等級評定
考察漏洞的危害性應該緊密的和利用該漏洞帶來的危害相關,并不是通常大家認識的所有緩沖區溢出漏洞都是高危漏洞。以遠程漏洞為例,比較好的劃分方法為:
1 可遠程獲取OS、應用程序版本信息。
2 開放了不必要或危險得服務,可遠程獲取系統敏感信息。
3 可遠程進行受限的文件、數據讀取。
4 可遠程進行重要或不受限文件、數據讀取。
5 可遠程進行受限文件、數據修改。
6 可遠程進行受限重要文件、數據修改。
7 可遠程進行不受限得重要文件、數據修改,或對普通服務進行拒絕服務攻擊。
8 可遠程以普通用戶身份執行命令或進行系統、網絡級的拒絕服務攻擊。
9 可遠程以管理用戶身份執行命令(受限、不太容易利用)。
10 可遠程以管理用戶身份執行命令(不受限、容易利用)。
本地漏洞幾乎都是導致代碼執行,歸入上面的10分制可以為:
5 遠程主動觸發代碼執行(如IE的漏洞)。
6 遠程被動觸發代碼執行(如Word漏洞/看圖軟件漏洞)。 #p#
五、DEMO
一個防火墻隔離(只允許運維部的人訪問)的網絡里運行一臺Unix服務器;操作系統中只有root用戶和oracle用戶可登陸,操作系統中運行了Apache(nobody權限)、Oracle(oracle用戶權限)等服務。
一個攻擊者的目的是修改Oracle數據庫中的帳單表的數據。
其可能的攻擊步驟為:
1. 接入運維部的網絡,獲得一個運維部的IP地址從而能通過防火墻訪問被保護的Unix服務器。
2. 利用Apache服務的某遠程緩沖區溢出漏洞直接獲得一個nobody權限的shell訪問。
3. 利用操作系統某suid程序的漏洞將自己的權限提升到root權限。
4. 用Oracle的sysdba登陸進入數據庫(本地登陸不需要密碼)。
5. 修改目標表的數據。
以上5個過程分析下來為:
第1步:認證繞過
第2步:遠程漏洞、代碼執行(機器碼)、認證繞過
第3步:權限提升、認證繞過
第4步:認證繞過
第5步:數據寫
【編輯推薦】
