VXWORKS FUZZING 之道 VXWORKS 工控实时操作系统漏洞挖掘揭秘 KCon West 2016 我们 吴少荣 TDG (404安全研究员) (404安全研究员) KCon West 2016 我们 吴少荣 TDG (404安全研究员) (404安全研究员) KCon West 2016 本文内容 ▸ 漏洞研究简介 ▸ 研究环境准备 ▸ 如何实现自动Fuzz（WDB、崩溃机制） ▸ 两个Fuzz实例 ▸ Vxworks 系统组件无法调试问题 ▸ 调查互联网上暴露的VxWorks WDB RPC服务 ▸ 总结 KCon West 2016 漏洞研究-简介 漏洞研究 已发现漏洞的细节进行深入分析 漏洞利用 未知漏洞探索 漏洞分析 漏洞利用 漏洞挖掘 补救措施 综合应用各种技术和工具 源码 尽可能的找出潜在的漏洞 目标代码 KCon West 2016 漏洞研究-简介 目标代码 补丁比对 动态分析 FUZZING 静态分析 构造数据 输入目标 用于“已知”漏洞 动态调试 指针运算 目标异常? 安全公告 相应补丁 前后对比 数据流，代码流 寻找可能 反汇编序列 特征库 N Y 记录 寻找 发现 确认 KCon West 2016 实现目标 FUZZ 平台 目 标 实 现 VXWORKS SULLEY 组件1 组件N KCon West 2016 环境准备 FUZZ 平台 SULLEY SULLEY 安装 VXWORKS Ø http://www.freebuf.com/news/93201.html Ø Python灰帽子 第9章 Sulley Ø 网络资料 KCon West 2016 环境准备 FUZZ 平台 SULLEY VXWORKS 其市场范围跨越所有的安全关键领域 关于VXWORKS 1) 火星好奇心流浪者 美国WindRiver,于1983年设计开发。已宣称15亿台设备，使用广泛 2) 波音787梦幻客机 支持几乎所有现代市场上的嵌入式CPU架构 3) 网络路由器 x86、MIPS、 PowerPC、SPARC、SH-4、ARM、StrongARM、xScale CPU KCon West 2016 特殊应用场景，高危性质使的VxWorks安全被高度关注。 环境准备 FUZZ 平台 VXWORKS 安装 无法涉及所有细节，提供资料以供参考 SULLEY VXWORKS ü VxWorks 5.5 模拟环境搭建 ü VxWorks 6.6 模拟环境搭建 ü VmWare上运行VxWorks(5.5) 2011年发布 | frank https://github.com/knownsec/VxPwn VxWorks漏洞挖掘相关 KCon West 2016 实现目标 VXWORKS FUZZ 平台 组件1 组件N 实现自动Fuzzing ü 构造半随机数据 ü 检测组件状态 ü 记录信息 ü 输入目标组件 ü 获取组件异常信息 ü 目标组件环境复原 KCon West 2016 研究线索 2015-9月 44CON Yannick Formaggio介绍了他对VxWorks安全研究的心得，他采 用了Fuzzing框架Sulley对VxWorks系统的多个协议进行了 Fuzzing，挖掘到一些漏洞，并结合VxWorks的WDB RPC实现了 一个远程调试器(监视器)。 KCon West 2016 实现目标 WDB 监视器 FUZZ 平台 VXWORKS 组件1 组件N 实现自动Fuzzing ü 构造半随机数据 ü 检测组件状态 ü 目标组件环境复原 ü 输入目标组件 ü 获取组件异常信息 ü 记录信息 KCon West 2016 WDB RPC 协议 Ø 调试接口 Ø 基于SUN-RPC协议 Ø 服务运行在UDP协议的17185端口上 Ø WDB RPC被包含在VxWoks TAgent模块中 Ø 版本 V1，V2 ü 直接读写系统内存 ü 感知系统组件状态 KCon West 2016 VXWORKS 调试通信框架 Shell Debugger Other Tools TServer WDB RPC WDB Serial Network Comm if Serial Comm if TAgent Target OS Non-WDB Back End Non-WDB Agent KCon West 2016 FUZZ框架思路 FUZZ Shell Debugger VxMon监视器 TServer Other Tools VxMon 充当调试器 WDB RPC WDB Serial Non-WDB Back End 模拟Debugger与TAgent通信 Network Comm if VxMon从TAgent获得异常通知 Serial Comm if 解决技术难点 TAgent Target OS Non-WDB Agent KCon West 2016 FUZZ框架 VxMon Fuzz WDB RPC Network Comm if TAgent Target OS KCon West 2016 FUZZ框架 VxMon Fuzz R WDB PC TAgent Target OS KCon West 2016 WDB PRC 请求数据包 * IP Header * UDP Header * RPC Request Header * WDB Parameter Wrapper * Function input parameters 重点内容：WDB Parameter Wrapper内容包含整个请求包的大小， 校验和及请求系列号，Function input parameters 为请求功能号 的携带辅助信息。 KCon West 2016 WDB PRC 应答数据包 * IP Header * UDP Header * RPC Reply Header * WDB Reply Wrapper * Function output 重点内容：WDB Parameter Wrapper内容包含整个请求包的大小、校验和 及应答系列号（在每个请求与应答中，应答与请求系列号一致）， Function output包含应答的输出信息，为请求功能号的返回信息。 KCon West 2016