简单四步，教你自己动手移植思科ASA漏洞利用EXTRABACON

2016-08-29 10:54:06 作者：mpk_no1 
阅读：655次 点赞(1) 收藏(1)

在过去的几天里,我们仔细分析了由Shadow Brokers泄露的国安局漏洞利用代码EXTRABACON。根据XORcat得出的初步分析,这个利用代码能够利用SNMP服务中的内存崩溃漏洞绕过思科ASA设备的身份验证。我们在实验室里对这段代码进行了分析和测试,甚至进行了修改使其能够应用到9.2 (4) 版本。不过，在官方未发布修复补丁之前我们不打算公开这个升级代码。在这篇文章中，我们希望对移植过程进行一个详细的描述:移植的先决条件是什么,需要付出多少努力来扩展功能。同时我们也希望这篇总结能够给那些开始研究思科ASA的人们提供一个很好的资源。

思科ASA是什么？

思科自适应安全设备(ASA)是一种广泛采用的网络安全设备,除了提供标准数据包过滤功能,还提供了一个“智能”的组合,应用程序级的功能比如L7协议检验或VPN等。这个复杂的功能集大概是思科选择32位x86处理器来实现的原因之一。

供应商的主页数据显示有超过100万的这种设备部署在世界各地。

广泛部署,加上其体系结构的复杂性（很可能存在很多bug）使得思科ASA成为了黑客们梦寐以求的攻击对象。

测试准备工作

开始研究ASA最好有一些实际的硬件。幸运的是，ASA 5505在在线拍卖网站上可以以相对便宜的价格找到。

当拥有了硬件，你可能对它的配置毫无头绪，这个时候，你应该建立一个串行连接,从而在没有密码的情况下重置配置和访问控制台。因此你需要一个思科控制台连接线(RJ45-to-DB9)和一个RS232-USB转换器。通过这些你可以将设备的控制台端口连接到你的工作站上的USB端口。在Linux上你可以使用调制解调器通信程序（minicom）连接到控制台,连接参数有:

9600 baud、Parity:8N1

连接完毕之后，你可以检查固件版本并对设备进行配置。对我们来说，配置IP网络接口,允许SSH和SNMP是很重要的。

安装新的固件,你首先需要匹配的固件二进制文件。版本9.2(4) 映像文件的名称为asa924-k8.bin。可以使用SCP将新的固件上传到设备的内部闪存中:

scp asa924-k8.bin admin@192.168.5.1:/asa924-k8.bin

启动顺序可以根据官方手册（https://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/200142-ASA-9-x-Upgrade-a-Software-Image-using.html）配置。

拥有了首选的固件版本和串行连接之后，你就可以通过发送下面的长SNMP OID来验证EXTRABACON造成的内存损坏利用:

这可能会导致访问冲突,并会在串行控制台上输出一些基本的调试信息。

远程调试

远程调试的配置参考的是Alec Stuart 的教程（https://www.youtube.com/watch?v=KXqrovapQ5A）,我们现在只是给出一个快速概述的过程。

ASA运行一个类似linux的操作系统，称为lina，固件映像文件包含根文件系统的所有二进制文件和配置文件——可以用binwalk提取:

我们将Alec演示的repack.sh脚本修改为了:

1.从固件的映像中自动发现和修改rootfs.img

2.解压缩

3.替换rcS，这样在调试模式下会启动lina

4.重新打包rootfs

5.使用dd把新的rootfs归档到固件的二进制文件中

替换设备上的原有固件映像之后，lina开始等待启动时的GDB附加:

继续执行,作为根用户启动GDB,并串行附加到目标上:

现在你可以交互式地调试你的设备了。

分析与修改

当我们开始处理EXTRABACON时，我们的主要问题是了解将其扩展到支持新的固件版本有多难。出于这个原因,我们采取了一个“hacky”方法寻找最简单的方法来解决这个问题,而不太关心思科的内部解析或其他细节。

首先让我们看一下目录结构:.

我们可以看到,不同版本的shellcode都是单独存储在目录下的versions文件夹中,主要利用代码是一个单独的Python文件——extrabacon_1.1.0.1.py。

Mexeggs是漏洞利用的“迷你框架”:它定义了标准接口，处理一些常见的任务，如参数解析和日志记录(默认的日志目录是D:\DSZOPSDisk\logs,日志存储在代号为“concernedparent”的目录中)。

因为是模块化的，所以一旦我们修复了Extrabacon.fw_version_check()函数中的版本检测功能，我们的主要关注点就是主利用脚本。

让我们来看看shellcode脚本！下图是版本8.0(2)和8.4(4)之间的对比:

我们可以看到，这两个版本的shellcode大部分是相同的,只有2 - 4字节的差异。每一个版本的my_ret_addr值有明显的差异,但凡做过这种类型开发的人都会非常高兴看到这个变量名（或值）:在版本检测代码中添加了两行之后，我们在versions目录下拷贝了一个原始的shellcode代码，将其命名为shellcode shellcode_asa924.py，然后将my_ret_addr的值设为 0 x41414141。这个利用正式启动后,我们获得了一个不错的小SIGSEGV信号:

1

Program received signal SIGSEGV, Segmentation fault.[Switching to Thread 523]0x41414141 in ?? ()(gdb) info regeax            0x0    0ecx            0xcbd65a48    -875144632edx            0x0    0ebx   &n 漏洞 安全 x86 ip ssh https ci port uri 写下你的评论吧 ! 吐个槽吧,看都看了 会员登录 | 用户注册 推荐阅读 io DNN Community 和 Professional 版本的主要差异 本文详细解析了 DotNetNuke (DNN) 的两种主要版本：Community 和 Professional。通过对比两者的功能和附加组件，帮助用户选择最适合其需求的版本。 ... [详细] 蜡笔小新   2024-12-27 13:14:08 jsp PHP 5.2.5 安装与配置指南 本文详细介绍了 PHP 5.2.5 的安装和配置步骤，帮助开发者解决常见的环境配置问题，特别是上传图片时遇到的错误。通过本教程，您可以顺利搭建并优化 PHP 运行环境。 ... [详细] 蜡笔小新   2024-12-27 19:05:41 bit Docker的安全基准 nsitionalENhttp:www.w3.orgTRxhtml1DTDxhtml1-transitional.dtd ... [详细] 蜡笔小新   2024-12-28 13:00:24 metadata 数据管理权威指南：《DAMA-DMBOK2 数据管理知识体系》 本书提供了全面的数据管理职能、术语和最佳实践方法的标准行业解释，构建了数据管理的总体框架，为数据管理的发展奠定了坚实的理论基础。适合各类数据管理专业人士和相关领域的从业人员。 ... [详细] 蜡笔小新   2024-12-27 18:29:55 string Java面试题解析 本文详细介绍了Java编程语言中的核心概念和常见面试问题，包括集合类、数据结构、线程处理、Java虚拟机（JVM）、HTTP协议以及Git操作等方面的内容。通过深入分析每个主题，帮助读者更好地理解Java的关键特性和最佳实践。 ... [详细] 蜡笔小新   2024-12-27 13:55:14 string 2023年全球运营商网络设备市场预计突破202亿美元 尽管某些细分市场如WAN优化表现不佳，但全球运营商路由器和交换机市场持续增长。根据最新研究，该市场预计在2023年达到202亿美元的规模。 ... [详细] 蜡笔小新   2024-12-27 12:44:44 jsp 深入探讨JSP技术的优缺点 本文详细分析了JSP（JavaServer Pages）技术的主要优点和缺点，帮助开发者更好地理解其适用场景及潜在挑战。JSP作为一种服务器端技术，广泛应用于Web开发中。 ... [详细] 蜡笔小新   2024-12-28 11:00:33 jsp 新浪笔试题 1:有如下一段程序：packagea.b.c;publicclassTest{privatestaticinti0;publicintgetNext(){return ... [详细] 蜡笔小新   2024-12-27 19:32:17 post 使用 Azure Service Principal 和 Microsoft Graph API 获取 AAD 用户列表 本文介绍了一段通用代码示例，该代码不仅能够操作 Azure Active Directory (AAD)，还可以通过 Azure Service Principal 的授权访问和管理 Azure 订阅资源。Azure 的架构可以分为两个层级：AAD 和 Subscription。 ... [详细] 蜡笔小新   2024-12-27 16:07:12 jsp 四载相伴，与51CTO学院共成长 在计算机技术的学习道路上，51CTO学院以其专业性和专注度给我留下了深刻印象。从2012年接触计算机到2014年开始系统学习网络技术和安全领域，51CTO学院始终是我信赖的学习平台。 ... [详细] 蜡笔小新   2024-12-28 08:20:07 jsp 三星W799：2011年双模手机的巅峰之作 三星W799在2011年的表现堪称经典，以其独特的双屏设计和强大的功能引领了双模手机的潮流。本文详细介绍其配置、功能及锁屏设置。 ... [详细] 蜡笔小新   2024-12-28 01:27:47 jsp FastJSON解析与数据提取技巧 探讨如何高效使用FastJSON进行JSON数据解析，特别是从复杂嵌套结构中提取特定字段值的方法。 ... [详细] 蜡笔小新   2024-12-27 19:49:07 string Java并发编程：LinkedBlockingQueue的实际应用 本文介绍了Java并发库中的阻塞队列（BlockingQueue）及其典型应用场景。通过具体实例，展示了如何利用LinkedBlockingQueue实现线程间高效、安全的数据传递，并结合线程池和原子类优化性能。 ... [详细] 蜡笔小新   2024-12-27 18:51:49 php CentOS7源码编译安装MySQL5.6 2019独角兽企业重金招聘Python工程师标准一、先在cmake官网下个最新的cmake源码包cmake官网：https:www.cmake.org如此时最新 ... [详细] 蜡笔小新   2024-12-27 17:49:56 config 深入解析Spring Cloud Ribbon负载均衡机制 本文详细介绍了Spring Cloud中的Ribbon组件如何实现服务调用的负载均衡。通过分析其工作原理、源码结构及配置方式，帮助读者理解Ribbon在分布式系统中的重要作用。 ... [详细] 蜡笔小新   2024-12-27 16:01:25 手机用户2602901861 这个家伙很懒，什么也没留下！ Tags | 热门标签 const byte subset hashtable copy string hashset js blob fetch range join post bit instance vbscript config httprequest golang metadata plugins export php timezone php8 dll controller jsp solr hashcode RankList | 热门文章 1推动移动网络架构的多元化应对RAN“大爆炸”及其持续扩张的解决之道 2Win10 1903建议升级吗？ 3mysql 的垂直分表和水平分表 4华为的架构设计10原则 5区块链基础知识(一) 6AndroidSDK配置环境变量。 7为什么在电脑上设置备注？ 8mysql职业生涯规划书_计算机应用职业生涯规划书.pdf 9ctf攻防渗透渗透流程 10SPSS中如何定义变量？ 11固态硬盘用哪个接口 固态硬盘的接口类型有几种 12为什么应该在开发环境中使用 Kubernetes 13DB2数据分页存储过程 14安科瑞关于《嘉兴市餐饮业油烟管理办法（2020）》的解读 15解决Redis高并发下数据库穿透问题 PHP1.CN | 中国最专业的PHP中文社区 | DevBox开发工具箱 | json解析格式化 |PHP资讯 | PHP教程 | 数据库技术 | 服务器技术 | 前端开发技术 | PHP框架 | 开发工具 | 在线工具 Copyright © 1998 - 2020 PHP1.CN. All Rights Reserved | 京公网安备 11010802041100号 | 京ICP备19059560号-4 | PHP1.CN 第一PHP社区 版权所有