前言

在此文中我將講述我在軟件漏洞挖掘的實(shí)踐中學(xué)到的技術(shù)及方法，不過這些內(nèi)容并非那些前沿的技術(shù)，大多是基礎(chǔ)類型的技術(shù)及方法。對于初學(xué)者而言，希望能夠給予入門的指導(dǎo)，對于經(jīng)驗(yàn)豐富的漏洞挖掘工作者而言，我認(rèn)為也可以從中獲得一些啟發(fā)。

[[208681]]

受限于我個(gè)人的知識水平及能力，這篇文章并不可能做到面面俱到，也希望閱讀者能夠與我積極交流，對于其中的錯(cuò)誤不吝賜教。

我將會把此文分為三個(gè)章節(jié)，分別闡述我的觀點(diǎn)。首先我會從一個(gè)較高的角度總結(jié)于我眼中何謂漏洞挖掘;然后詳細(xì)討論在軟件漏洞挖掘過程中我們需要掌握的技能以及需要的知識和工具等;最后我將談?wù)勔恍┪艺J(rèn)為有利于漏洞挖掘但是卻并非純技術(shù)性的想法。

一、什么是漏洞挖掘

[[208682]]

從某個(gè)角度來講，我們可以將漏洞挖掘工作比作玩迷宮游戲，不同的是，這個(gè)迷宮與我們平時(shí)所見的游戲中的迷宮略有不同：

1. 你無法立即看到它整體的外觀
2. 隨著漏洞挖掘工作的深入，這個(gè)迷宮的形狀逐漸擴(kuò)大
3. 你將會擁有多個(gè)起點(diǎn)及終點(diǎn)，但是無法確定這些點(diǎn)具體在哪里
4. 最終這個(gè)迷宮可能永遠(yuǎn)也無法100%的完整，但是卻能夠弄清楚A點(diǎn)至B點(diǎn)的一條完整路徑

可以用下面這張圖來進(jìn)行描述：

[[208683]]

具體一點(diǎn)的描述，我們可以將漏洞挖掘工作歸結(jié)為三個(gè)步驟：

1. 枚舉程序入口點(diǎn)(例如：與程序交互的接口)
2. 思考可能出現(xiàn)的不安全狀態(tài)(即漏洞)
3. 設(shè)法使用識別的入口點(diǎn)到達(dá)不安全狀態(tài)

即是說，在這個(gè)過程中，迷宮是我們研究的應(yīng)用程序，地圖是我們堆程序的理解程度，起點(diǎn)是我們的入口點(diǎn)(交互接口)，終點(diǎn)為程序的不安全狀態(tài)。

所謂入口點(diǎn)，既可以是UI界面上直觀可見的交互接口，也可以是非常模糊與透明的交互接口(例如IPC)，以下是部分安全研究員較為感興趣的關(guān)注點(diǎn)：

1. 應(yīng)用程序中比較古老的代碼段，并且這一部分隨著時(shí)間的推移并沒有太大的變化。
2. 應(yīng)用程序中用于連接由不同開發(fā)團(tuán)隊(duì)或者開發(fā)者開發(fā)的程序模塊的接口部分
3. 應(yīng)用程序中那些調(diào)試和測試的部分代碼，這部分代碼本應(yīng)在形成Release版本時(shí)去除，但由于某些原因不小心遺留在程序中。
4. C-S模式(帶客戶端和服務(wù)端)的應(yīng)用中客戶端及服務(wù)端調(diào)用API的差異部分(例如網(wǎng)頁表單中的hide屬性字段)
5. 不受終端用戶直接影響的內(nèi)部請求(如IPC)

我認(rèn)為從攻擊面上來劃分可以講漏洞分為兩大類，通用漏洞(General)和上下文漏洞(contextual)。通用型漏洞是指在我們對應(yīng)用的業(yè)務(wù)邏輯不是非常熟悉的情況下能夠找出的漏洞，例如一些RCE(遠(yuǎn)程代碼執(zhí)行)、SQLi(sql注入)、XSS(跨站)等。上下文漏洞是指需要在對應(yīng)用的業(yè)務(wù)邏輯、認(rèn)證方式等非常熟悉的情況下才能找到的漏洞，例如權(quán)限繞過等。

在漏洞挖掘的過程中，我首先會根據(jù)經(jīng)驗(yàn)優(yōu)先考慮研究測試那些可能會對應(yīng)用產(chǎn)生巨大威脅的部分。一些輕量級威脅檢測模型(如STRIDE)可以輔助我們做出這樣的決策。

下面我們首先看一下一個(gè)WEB應(yīng)用程序的漏洞示例，后面將會介紹桌面程序：

首先我們假設(shè)目標(biāo)web應(yīng)用是一個(gè)單頁面應(yīng)用(single-page-application SPA)，我們已經(jīng)獲得合法驗(yàn)證去訪問這個(gè)應(yīng)用，但是我們沒有任何關(guān)于服務(wù)端的源代碼或者二進(jìn)制文件。在這種情況下，當(dāng)我們枚舉入口點(diǎn)時(shí)，可以通過探尋該應(yīng)用的不同功能來進(jìn)一步了解其業(yè)務(wù)邏輯及功能，可以通過抓包分析看HTTP請求內(nèi)容，也可以分析客戶端的網(wǎng)頁代碼獲取需要提交表單的列表，但是最終的限制還是我們無法具體知悉客戶端和服務(wù)端調(diào)用的API之間的區(qū)別，不過通過以上方法，我們可以找到一些入口點(diǎn)，

接著就是操作這些入口點(diǎn)，以試圖達(dá)到我們預(yù)期的不安全狀態(tài)。由于漏洞的形態(tài)很多，我們通常需要構(gòu)建一個(gè)適用于該測試應(yīng)用程序的業(yè)務(wù)功能漏洞的測試集，以求達(dá)到最高效的尋找漏洞。如果不那樣做的話，我們就將會在一些無用的測試集上花費(fèi)大量時(shí)間，并且看不到任何效果(舉個(gè)例子，當(dāng)后臺的數(shù)據(jù)庫為Postgresql時(shí)，我們用xp_cmdshell去測試，測試再多次都無濟(jì)于事)。所以在構(gòu)造測試集時(shí)，需對應(yīng)用程序的邏輯有較深的理解。下圖形象的展示了低效率測試集的效果：

對于桌面應(yīng)用程序，漏洞挖掘的思路本質(zhì)上與web程序是類似的，不過也有一些區(qū)別：最大的區(qū)別在于，桌面應(yīng)用的執(zhí)行方式與流程與web程序不一樣，下圖展示的是桌面應(yīng)用漏洞挖掘的一些內(nèi)容：

與黑盒測試相比，當(dāng)有源代碼時(shí)(白盒測試)，在尋找代碼入口和程序執(zhí)行路徑等漏洞挖掘點(diǎn)時(shí)所做的猜測性的工作會大大減少，在這種情況下，將數(shù)據(jù)載荷從入口點(diǎn)執(zhí)行到不安全的程序位置的效率低于從不安全的程序位置回溯至入口點(diǎn)。不過在白盒測試中，你對代碼的測試的覆蓋面可能會由于你自己的知識局限性而受到影響。

二、漏洞挖掘需要具備的知識

從事漏洞挖掘工作需要具備的知識是極其廣泛的，并且隨著時(shí)間在不斷改變，也取決于你所研究的對象(web程序、桌面程序、嵌入式等等)。不過，萬變不離其宗，所需要掌握的知識領(lǐng)域卻總可以認(rèn)為是確定的，我認(rèn)為大致可以分為以下四個(gè)方面：

1. 程序正向開發(fā)技術(shù)。這是一個(gè)開發(fā)者需要掌握的能力，包括編程語言、系統(tǒng)內(nèi)部設(shè)計(jì)、設(shè)計(jì)模式、協(xié)議、框架等。擁有豐富編程經(jīng)驗(yàn)與開發(fā)能力的人在漏洞挖掘過程中往往比那些只對安全相關(guān)領(lǐng)域有所了解的人員對目標(biāo)應(yīng)用能有更深入的理解，從而有更高的產(chǎn)出。

2. 攻防一體的理念。這些知識涵蓋了從基本的安全原則到不斷變換的漏洞形態(tài)及漏洞緩解措施。攻擊和防御結(jié)合的理念，能夠有效幫助研究者既能夠發(fā)現(xiàn)漏洞，同時(shí)也能夠快速給出有效的漏洞緩解措施和規(guī)避方法。

3. 有效使用工具。能夠高效的使用工具能夠快速將思路轉(zhuǎn)化為實(shí)踐，這需要通過花時(shí)間去學(xué)習(xí)如何配置和使用工具，將其應(yīng)用于自己的任務(wù)并構(gòu)建自己的工作流程來不斷積累經(jīng)驗(yàn)。更進(jìn)一步，需要深入掌握所使用工具的原理，以及如何對其進(jìn)行二次開發(fā)，以使得其能夠更加高效的應(yīng)用于當(dāng)前的工作實(shí)際。事實(shí)上，我認(rèn)為面向過程的學(xué)習(xí)方法往往比面向工具的學(xué)習(xí)方法更加高效以及有價(jià)值，當(dāng)自己發(fā)現(xiàn)一個(gè)在使用一個(gè)工具遇到瓶頸時(shí)，先不要退縮，嘗試去改造它，或者通過自己動手實(shí)踐去完成能夠適應(yīng)當(dāng)前工作的工具，這往往能夠幫助快速積累大量實(shí)踐經(jīng)驗(yàn)。幫助我們以后更加高效的去實(shí)踐漏洞挖掘工作。

4. 對目標(biāo)應(yīng)用的理解。最后，也是最重要的，作為一個(gè)漏洞挖掘人員，對自己研究的應(yīng)用程序在安全性方面必須要比這個(gè)程序的開發(fā)者或維護(hù)者有更深的理解。這樣你才能盡可能的發(fā)現(xiàn)這個(gè)程序中的漏洞并修復(fù)它。

下面這張表格介紹了我認(rèn)為在挖掘web應(yīng)用程序和桌面應(yīng)用程序的漏洞時(shí)所需要掌握的內(nèi)容，限于筆者個(gè)人的認(rèn)知水平，所展示的內(nèi)容并非特別齊全：

這是我經(jīng)過無數(shù)的不眠之夜、數(shù)以千計(jì)的小時(shí)、一次又一次的錯(cuò)誤而總結(jié)的知識，我相信它將會幫助你提高你挖掘漏洞的能力。如果說上面一節(jié)是講訴挖掘漏洞所需要的知識，那么下面的這一節(jié)將講述挖掘漏洞如何做。

三、漏洞挖掘需要做什么

當(dāng)我分析一個(gè)應(yīng)用程序時(shí)，我通常采用下圖展示的四個(gè)“分析模型”，每當(dāng)我遇到障礙導(dǎo)致我思路受阻時(shí)，我就會從其中一個(gè)模型切換到下一個(gè)模型，當(dāng)然，這不是一個(gè)線性的切換，我不知道這個(gè)方法是否對每個(gè)人都有用，但是對于我的確是幫助巨大：

在每一個(gè)模型之中都有主動活動(active activities)與客觀活動存在(passive activities)，主動活動需要我們對程序的執(zhí)行環(huán)境及上下文有一個(gè)比較全面的了解，而客觀活動卻不一定，比如它是客觀存在與程序的一些技術(shù)文檔之中。不過，這種劃分也不一定嚴(yán)格，不過對于每一個(gè)activity，我們可以從以下幾方面去考慮：

1. 理解有關(guān)漏洞的相關(guān)模型
2. 試圖假設(shè)一個(gè)場景去破壞程序
3. 嘗試去破壞程序

程序用途分析(Use case analysis)。程序用途分析是指理解一個(gè)應(yīng)用程序做了什么工作，會提供什么服務(wù)等。每當(dāng)我去分析一個(gè)新的應(yīng)用程序時(shí)，我所做的第一件事就是程序用途分析。同時(shí)，閱讀與該程序的相關(guān)文檔將有助于進(jìn)一步理解程序功能(如上圖所示)。我總是這樣做，以期對程序有一個(gè)透徹的了解。

或許，比起直接構(gòu)造測試樣例進(jìn)行測試，這項(xiàng)工作可能并不是那么有趣。不過，它的確幫助我節(jié)省了一大筆時(shí)間。舉一個(gè)我自己的例子，我之前發(fā)現(xiàn)過Oracle Opera(一個(gè)廣泛使用的酒店管理軟件)[CVE-2016-5563/4/5]的遠(yuǎn)程代碼執(zhí)行漏洞，我就是通過閱讀器用戶手冊快速找到可能存在危險(xiǎn)的數(shù)據(jù)表，最后快速找出遠(yuǎn)程代碼執(zhí)行漏洞。有關(guān)這個(gè)漏洞的分析，請參看：

http://jackson.thuraisamy.me/oracle-opera.html

(執(zhí)行條件分析)Implementation analysis，執(zhí)行條件分析是指理解應(yīng)用程序運(yùn)行時(shí)需要包括的環(huán)境因素，比如網(wǎng)絡(luò)配置，端口使用等?？梢酝ㄟ^端口掃描，漏洞掃描等方式進(jìn)行操作。這些配置上的問題，很可能就會導(dǎo)致一個(gè)漏洞的出現(xiàn)。

聚個(gè)例子，一個(gè)系統(tǒng)權(quán)限級別的程序，由于配置錯(cuò)誤，可能會使的低權(quán)限的用戶能夠訪問并修改，最終導(dǎo)致一個(gè)權(quán)限提升，引發(fā)一個(gè)提權(quán)漏洞。又比如，在一個(gè)網(wǎng)絡(luò)程序中，可能程序本身并沒有錯(cuò)誤，但是由于這個(gè)服務(wù)器開了一個(gè)anonymous的FTP服務(wù)器，那么任何人都有可能訪問這個(gè)機(jī)器，這就導(dǎo)致web應(yīng)用的源代碼或者其他敏感文件暴露在外面。這些問題，理論上并非程序自身的漏洞，但是由于其執(zhí)行環(huán)境的因素，就使得其成為一個(gè)漏洞。

通信分析(Communications analysis)。通信分析是指對一個(gè)目標(biāo)程序與其他進(jìn)程或系統(tǒng)之間交互信息的方式進(jìn)行深入分析。在這樣的前提下，可通過發(fā)送精心構(gòu)造的請求(request)等方法，觸發(fā)不安全狀態(tài)。許多web應(yīng)用程序漏洞都是通過這種方式發(fā)現(xiàn)的。

在上述模式下，需要我們對數(shù)據(jù)通信協(xié)議有較為清晰的認(rèn)識，如果并不能夠清晰的了解協(xié)議格式呢?這種情況就要借助黑盒測試的技術(shù)進(jìn)行解決，主要通過發(fā)送請求，并根據(jù)返回值進(jìn)行判斷是否存在異常。

下面舉個(gè)例子來說明，這里假設(shè)存在一個(gè)金融網(wǎng)站，里面有一項(xiàng)功能允許用戶使用不同的貨幣購買預(yù)付信用卡。這里假設(shè)實(shí)現(xiàn)這項(xiàng)業(yè)務(wù)的請求(Request)如下：

• FromAccount : 用于購買預(yù)付卡的賬戶
• FromAmount : 需要從fromAccount轉(zhuǎn)入預(yù)付卡的金額(例如 ￥100)
• CardType: 需要購買的預(yù)付卡類型(例如 USD、GBP
• currencyPair : 付款賬戶和預(yù)付信用卡的貨幣配對,用于計(jì)算匯率(如 CADUSD、CADGBP)

當(dāng)我們要去測試這樣一個(gè)應(yīng)用程序時(shí)，首先我們可能會想到發(fā)送一個(gè)正常的數(shù)據(jù)請求，以幫助我們了解該應(yīng)用程序的標(biāo)準(zhǔn)響應(yīng)的格式。例如下圖，用CAD去購買82美刀的預(yù)付卡的請求和響應(yīng)是下面這個(gè)樣子：

或許我們并不知道程序在后臺到底對我們的數(shù)據(jù)做了何種處理，但是我們通過觀察status字段的屬性知道我們的請求是ok的，下面如果我們將fromAmount參數(shù)調(diào)整為一個(gè)負(fù)數(shù)，或者將fromAccount調(diào)整為其他某個(gè)人的賬戶，那么這個(gè)web應(yīng)用就可能會返回錯(cuò)誤響應(yīng)，比如驗(yàn)證不通過。另外如果我們將currencyPair從CADUSD(加元對美元)改為CADJPY(加元對日元)而cardType不變，那么我們會看到返回值中toAmount字段從82.20變?yōu)?863.68。如果程序缺乏足夠的驗(yàn)證的話，我們有可能通過這種方式獲取到更多的錢而付出的錢不變。

另一方面，如果我們能夠獲取到后臺代碼或程序，那事情就變得更加有意思，我們可以輕松了解到后臺的運(yùn)作流程，如后臺是如何處理請求，有哪些錯(cuò)誤響應(yīng)，這將有助于我們構(gòu)造出更加具有針對性的數(shù)據(jù)對應(yīng)用進(jìn)行測試。

代碼分析(Code and binary analysis)。代碼分析是指理解一個(gè)目標(biāo)程序是如何處理用戶輸入的數(shù)據(jù)，以及該程序的執(zhí)行流程。目前有很多方法可以對程序?qū)崿F(xiàn)動態(tài)和靜態(tài)分析，下面介紹其中一部分：

(1) 數(shù)據(jù)流分析。數(shù)據(jù)流分析對于尋找入口點(diǎn)以及數(shù)據(jù)是如何走向潛在的不安全狀態(tài)是非常有用的。當(dāng)我在通信分析(Communications analysis)遇到困難，很難構(gòu)造出合適的request，我便會調(diào)整思路采取其他的方式尋找不安全狀態(tài)，在數(shù)據(jù)流分析中，我可以使用這種方法，首先判斷是否存在不安全狀態(tài)，如果存在，則進(jìn)一步跟蹤數(shù)據(jù)是如何流向該狀態(tài)。這個(gè)方法的有點(diǎn)是，一但發(fā)現(xiàn)不安全狀態(tài)，入口點(diǎn)也隨之確定，這為發(fā)掘漏洞提供巨大幫助。

在這個(gè)過程中，動態(tài)分析和靜態(tài)分析需要緊密配合起來。舉個(gè)例子，當(dāng)你在尋找如何從A點(diǎn)走到B點(diǎn)時(shí)，靜態(tài)分析就好比是在閱讀一張地圖，而動態(tài)分析就好比直接在這地圖上走，需要實(shí)時(shí)關(guān)注路上的天氣及交通狀況，IDA和windbg的配合就是如此。靜態(tài)分析可以對程序有一個(gè)全貌但不細(xì)致的理解，動態(tài)分析則可以對程序有一個(gè)狹隘但卻細(xì)致的理解，二者是相互補(bǔ)充的。

(2) 外部引用分析。在分析程序的過程中，程序上下文環(huán)境中可能非常有限，這個(gè)時(shí)候分析程序的導(dǎo)入API可以幫助我們進(jìn)一步了解程序的功能以及它與操作系統(tǒng)的交互方式。比如說，程序引用加密庫對數(shù)據(jù)進(jìn)行加密，那么你可以跟蹤這個(gè)加密庫并分析其功能，進(jìn)而分析自己的輸入是否能夠影響其功能。令外，理解程序是如何與操作系統(tǒng)的交互也可以幫助我們進(jìn)一步找到我們可以與程序進(jìn)行交互的入口點(diǎn)。

(3) 字符串分析。與外部引用分析一樣，分析程序中的字符串將幫助我們進(jìn)一步理解程序中的功能，特別是那些調(diào)試信息，關(guān)鍵字或者令牌什么的，或者是那些看起來特別奇特的東西，對這些關(guān)鍵的字符串的分析及跟蹤也將有利于我們尋找到更多的程序入口，進(jìn)而更加全面的找出程序中的缺陷。

(4) 安全掃描。使用自動化的掃描工具(如PHP源代碼掃描AWS)可能幫助我們快速找到一些常見的漏洞。但是對于尋找基于上下文和基于設(shè)計(jì)的漏洞并沒有太大幫助。我通常并不會對這種方法有太多青睞，只會用來做一些輔助性的功能，如果單純靠掃描就能找出一堆漏洞，你研究的目標(biāo)安全做的就太差了，這在目前并不常見，或者說研究這類目標(biāo)對于提高你自己并無任何幫助。

(5) 依賴性分析。一個(gè)應(yīng)用程序往往會以來其他外來的組件，比如一些開源模塊，它所依賴的開源模塊自身存在的漏洞可能會被引入造成自身的未公開漏洞。值得一提的是，現(xiàn)今一個(gè)程序往往都是引用了眾多第三方擴(kuò)展模塊，這些第三方的漏洞極易造成主程序的漏洞。舉個(gè)例子，大多數(shù)瀏覽器都會使用sqlite做數(shù)據(jù)緩存，如果sqlite存在漏洞，那么這些瀏覽器都有可能存在問題，無論是谷歌還是火狐。

(6) 版本分析。如果你有機(jī)會訪問程序的代碼倉庫，那么你就可以通過分析歷史版本的方式對程序進(jìn)行分析，這種方式不是基于上下文的，比如說，尋找那些長時(shí)間沒有做改動的部分，這些部分極易尋在漏洞。

代碼分析通常需要花費(fèi)比其他方式更多的時(shí)間，同時(shí)也更難，因?yàn)檠芯空邔@個(gè)程序的功能和使用的技術(shù)的掌握程度要不亞于其開發(fā)者，另外，一個(gè)程序的開發(fā)可能是由一個(gè)團(tuán)隊(duì)進(jìn)行維護(hù)，那么對于研究者，全面掌握這些東西顯得比較困難。但是只要肯專研，其實(shí)什么也都是能夠克服的，中國有句古話，只要肯專研，鐵棒變花針。

我無法不去強(qiáng)調(diào)編程能力的重要性，如果一個(gè)研究人員對他當(dāng)前研究的程序所采用的語言和技術(shù)有深入扎實(shí)的功底，那么他必將創(chuàng)造出很多有價(jià)值的東西。從攻擊的角度來說，他可以發(fā)現(xiàn)更加簡單及直觀，編寫利用程序也將得心應(yīng)手。從防御的角度來說，他可以提供出代碼級別的具有高度針對性的修復(fù)建議而非那種通用的方法。

四. 有關(guān)漏洞挖掘的其他想法

1. 漏洞的復(fù)雜性

漏洞的復(fù)雜性分布非常廣。一方面，有很多漏洞非常簡單與直觀，并且利用代碼一目了然，比如說經(jīng)典的sql注入。另一方面，在系統(tǒng)中有的看似并不相關(guān)，并且就其自身而言并非不安全，但是當(dāng)這些東西以一種特定的方式結(jié)合起來的時(shí)候，就有可能引發(fā)大的漏洞，比如說條件競爭，或者一些其他的復(fù)雜的邏輯漏洞。我嘗試將這些漏洞按照復(fù)雜級別分為“一級漏洞”和“二級漏洞”，不過也有其他分類方法。引用一局來自Project Zero的Ben Hawkes說過的一句話：

The modern exploit is not a single shot vulnerability anymore. They tend to be a chain of vulnerabilities that add up to a full-system compromise.

如今想要完成一個(gè)完整的利用，只靠單一的漏洞往往行不通。很多時(shí)候我們需要靠一連串的漏洞才能完成一起完整的利用，致使系統(tǒng)“妥協(xié)”。

2. 團(tuán)隊(duì)工作

在一個(gè)團(tuán)隊(duì)中工作能夠有效幫助自己了解自己不知道的知識，以及提高自己已知的知識。不過在團(tuán)隊(duì)中要需要注意工作的方式方法，知之為知之，不知為不知，永遠(yuǎn)不要強(qiáng)行假裝精通你不熟悉的東西，因?yàn)榫ǖ娜丝梢院茌p易的指出你的癥結(jié)。如果一個(gè)團(tuán)隊(duì)里面大家都不坦誠相待，那么這不是一個(gè)合格的團(tuán)隊(duì)，你可以盡早更換。在優(yōu)秀的團(tuán)隊(duì)中，不要指望別人會把所有的知識交給你，要學(xué)會如何高效的學(xué)習(xí)，并在團(tuán)隊(duì)交流與合作中不斷提高。

寫在最后

感謝花時(shí)間將我的文章讀完，我希望我的文章在可以幫助你解開你的一些對于漏洞挖掘的謎團(tuán)。在學(xué)習(xí)和研究漏洞挖掘的過程中遇到困難并感到不知所措是非常正常的。不過學(xué)習(xí)的過程就是這樣，只有不斷的去嘗試才會進(jìn)步。祝你在漏洞挖掘的路上走的越來越遠(yuǎn)。