• 研究背景 • 研究内容 • 总结 Part. 01 研究背景 2 探索⼀切、攻破⼀切 近年有关网络设备的安全事件 时间 事件 2014-04 2014-11 思科(cisco)和瞻博(juniper)发现存在heartbleed漏洞 卡巴斯基实验室发布报告披露黑暗能量（BlackEnergy）可 以攻击思科（cisco）路由器 火 眼 （ fireeye ）发 布 了有 关 思科 （ cisco ） 路 由器 SYNful Knock后门的报告 安全公司volexity的Steven Adair发现了攻击思科（cisco） web vpn的案例 瞻博(juniper)发现漏洞： 万能密码登录设备（ CVE-20157755）、可解密VPN流量（CVE-2015-7756） @esizkur 发现飞塔防火墙（Fortigate）存在ssh未声明账户 漏洞（CVE-2016-5125） 方程式针对防火墙攻击的工具泄露 2015-09 2015-10 2015-12 2016-01 2016-08 3 探索⼀切、攻破⼀切 网络设备漏洞特点 （ASA） 2014.102014.12 2015 2016.12016.6 (CISCO IOS) 2014 2015 2016.12016.5 Dos 9 9 4 Dos 32 68 15 Bypass 1 3 1 Bypass 2 3 0 其他 8 3 1 其他 7 3 2 思科防火墙asa系统漏洞数目 思科ios系统漏洞数目 4 探索⼀切、攻破⼀切 研究历史 • • • • • • • • • • Attacking Network Embedded System Felix ‘FX’ Lindner 2002 The Holy Grail Cisco IOS Shellcode And Exploitation Techniques Michael Lynn 2005 Cisco IOS Shellcodes Gyan Chawdhary, Varun Uppal 2007 Cisco IOS - Attack & Defense. The State of the Art Felix ’FX’ Lindner 2008 Router Exploitation Felix ’FX’ Lindner 2009 Fuzzing and Debugging Cisco IOS SebasEan Muniz, Alfredo Ortega 2011 Killing the Myth of Cisco IOS Diversity Ang Cui, JaEn Kataria, Salvatore J. Stolfo 2011 Breaking Bricks and Plumbing Pipes:Cisco ASA a Super Mario Adventure Alec StuartMuirk 2014 Cisco IOS shellcode:all-in-one George Nosenko 2015 Execute my packet David Barksdale,Jordan Gruskovnjak,Alex Wheeler 2016 5 Part. 02 研究内容 6 探索⼀切、攻破⼀切 研究步骤 获取 固件 固件 解包 固件 patch 真机 调试 静态 分析 模拟 网络 模拟 系统 模拟 7 探索⼀切、攻破⼀切 获取固件 • 从官网下载 • 通过网络从设备上拷贝到电脑上 • 从设备的存储模块读 • 从网上找网友的分享 8 探索⼀切、攻破⼀切 8 探索⼀切、攻破⼀切 ASA固件解包 Some loader Direct booting from floppy is no longer supported. vmlinuz initrd gzip压缩的rootfs.img 9 探索⼀切、攻破⼀切 lina • $ cpio -id < rootfs.img 10 探索⼀切、攻破⼀切 lina 10 探索⼀切、攻破⼀切 lina • $ cpio -id < rootfs.img • • $ ls /asa/bin/ coredump_helper lina lina_monitor 10 探索⼀切、攻破⼀切 ASA系统模拟&调试 11 探索⼀切、攻破⼀切 IOS固件解包 12 探索⼀切、攻破⼀切 IOS固件解包 12 探索⼀切、攻破⼀切 IOS系统模拟&调试 13 探索⼀切、攻破⼀切 网络模拟 14 探索⼀切、攻破⼀切 真机调试 15 探索⼀切、攻破⼀切 真机调试 asa924-k8.bin quiet loglevel=0 auto => rdinit=/bin/sh 15