【腾讯云】11.11 云上盛惠,云产品限时抢购,1核2G云服务器首年88元

搜搜吧

查看: 15|回复: 0

[资讯] 用Domato通过Fuzzing对PHP进行漏洞挖掘研究

[复制链接]
  • TA的每日心情
    奋斗
    昨天 13:35
  • 签到天数: 695 天

    [LV.9]以坛为家II

    博士生

    1万

    主题

    2万

    帖子

    5万

    积分

    Rank: 8Rank: 8

    UID
    15343
    威望
    -561
    贡献
    8107
    在线时间
    368 小时
    注册时间
    2015-10-12
    发表于 7 天前 | 显示全部楼层 |阅读模式

    0f8104306a25aee7d92332fb6c041bd6.jpg-wh_600x-s_3488307299.jpg

    为了清楚和简洁起见,下面引用的代码已精炼为最简单的形式。实际用于Fuzzing测试的完整版本可以在此处找到。

    https://github.com/Rewzilla/domatophp

    最近,我一直在对PHP解释器进行Fuzzing,我探索了许多工具和技术(AFL,LibFuzzer,甚至是自定义的Fuzzing引擎),但是最近我决定尝试Domato。对于那些不知道的人,Domato是基于语法的DOM Fuzzer,旨在从复杂的代码库中挖掘复杂的bug。它最初是为浏览器而设计的,但是我认为我可以将其用于Fuzzing PHP解释器。

    https://github.com/googleprojectzero/domato

    0x01  分析上下文语法

    为了使用Domato,必须首先使用上下文无关的语法来描述语言,CFG只是一组定义语言构造方式的规则。例如,如果我们的语言由以下形式的句子组成:

    • [name] has [number] [adjective] [noun]s.
    • [name]'s [noun] is very [adjective].
    • I want to purchase [number] [adjective] [noun]s.

    这些变量中的每一个都可以采用几种形式,例如:

    • Names: alice, bob, eve
    • Numbers: 1, 10, 100
    • Adjectives: green, large, expensive
    • Nouns: car, hat, laptop

    那么上下文无关文法可能看起来像...

    272df66226cf172f2dcd8181553a4b63.jpg-wh_600x-s_3592526570.jpg

    然后Domato使用上下文无关文法生成符合语言规则的随机组合。

    • eve has 1 expensive laptops.
    • alice's hat is very green.
    • I want to purchase 100 expensive cars.
    • I want to purchase 10 large laptops.
    • bob has 100 expensive cars.
    • eve has 100 green laptops.
    • I want to purchase 100 large laptops.
    • bob has 1 large cars.
    • I want to purchase 1 large cars.
    • I want to purchase 1 large hats.
    • bob's laptop is very expensive.

    可以想象,通过将每个规则分解为更多子规则,我们可以开始定义更复杂的语言,而不仅仅是简单的搜索/替换。实际上,Domato还提供了一些内置函数,用于限制递归并生成基本类型(int,char,string等)。

    例如,以下Domato语法,该语法生成伪代码...

    e75eba0b674770ac12204f7e88be3a9f.jpg-wh_600x-s_830844128.jpg

    将其送入Domato会产生以下结果...

    • if (var0 == var5) { int var5 = 915941154; } else { int var3 = 1848395349; }; if (var3 == -121615885) { int var7 = 1962369640;; int var1 = 196553597;;; int var6 = -263472135;; } else { int var2 == 563276937; };
    • while (var9 = var8) { while (var0 == -2029947247) { int var7 = 1879609559; } }; char var0 = '';;
    • char var2 = '/';
    • char var3 = 'P';
    • if (var8 == var1) { int var7 = -306701547; } else { while (var3 == 868601407) { while (var0 == -1328592927) { char var10 = '^'; }; char var8 = 'L';;; int var9 = -1345514425;; char var5 = 'b';;; } }
    • int var8 = 882574440;
    • if (var8 == var9) { int var7 = 1369926086; } else { if (var9 != -442302103) { if (var3 != 386704757) { while (var4 != -264413007) { char var6 = 'C'; } } else { int var8 = 289431268; } } else { char var10 = '~'; } }
    • char var5 = '+';
    • if (var9 == 1521038703) { char var2 = '&'; } else { int var7 = -215672117; }
    • while (var9 == var0) { char var9 = 'X';; int var7 = -1463788903;; }; if (var8 == var7) { int var10 = 1664850687;; char var6 = 'f';; } else { while (var5 == -187795546) { int var3 = -1287471401; } };

    这非常适合Fuzzing解释器,因为每个样本都是不同的,并且仍然保证其在语法上是有效的!

    0x02 列举Attack Surface

    然后,下一步就是将PHP语言描述为CFG。如果有兴趣查看完整的CFG,请下载PHP源代码,然后查看Zend/zend_language_parser.y。

    但是,我对Fuzzing特定的代码模式更感兴趣。因此,我实现了CFG,使其仅使用“Fuzzing”参数生成对内置函数和类方法的调用。为此,我们需要一个函数,方法及其参数的列表。

    有两种获取此数据的方法。最简单的方法是使用PHP的内置Reflection类来遍历所有已定义的函数和类,从而构建一个列表。

    以下代码对所有内部PHP函数进行了演示...

    25c9464b33f43f0ddf6fc0d8d68d1f16.jpg-wh_600x-s_3179608694.jpg

    这会产生类似如下代码:

    • andrew@thinkpad /tmp % php lang.php  
    • zend_version();
    • func_num_args();
    • func_get_arg(arg_num);
    • func_get_args();
    • strlen(str);
    • strcmp(str1, str2);
    • strncmp(str1, str2, len);
    • strcasecmp(str1, str2);
    • strncasecmp(str1, str2, len);
    • each(arr);
    • error_reporting(new_error_level);
    • define(constant_name, value, case_insensitive);
    • defined(constant_name);
    • get_class(object);
    • ... etc ...

    但是,此问题在于此列表不包含类型信息。ReflectionParameter类包含一个getType方法,但是对于大多数函数而言,它目前似乎不起作用。:(也许这是一个bug?很难说。无论如何,拥有类型信息将使我们的Fuzzing工作变得更加有效,因此值得花时间去寻找另一种获取该数据的方法。

    https://www.php.net/manual/en/reflectionparameter.gettype.php

    为了解析出我们需要的东西,PHP的文档通常相当不错,可以在此处将其作为单个压缩的HTML文档下载。经过数小时的辛苦编写正则表达式后,我能够将其解析为可用的函数,方法和参数类型列表。我将其留给读者练习,但是最终产品(以CFG形式)看起来像这样……

    https://www.php.net/distributions/manual/php_manual_en.html.gz

    95d25164c81568a39dc27afb790528c4.jpg-wh_600x-s_3023639356.jpg

    0x03  设置Domato

    为了使Domato使用我们的语法,我们还需要定义一些基本组件,例如:

    经过大量的调整和调整后,我的配置最终看起来像这样……

    33a748f2d6a4913e565bc6291a08e20b.jpg

    我们还需要定义一个语法将被应用到的模板。该模板将设置环境,实例化以后可能使用的所有对象,然后运行每条线程。我的模板看起来像这样...

    50f063275bd67463cb28fd38311dabc4.jpg-wh_600x-s_371028417.jpg

    最后一步是复制和修改Domato的generator.py文件。我发现只需进行以下更改就足够了...

    · 第55和62行:将根元素更改为“

    · 第78行:引用我自己的“ template.php”

    · 第83行:在“ php.txt”中引用我自己的语法

    · 第134行:将输出名称和扩展名更改为“

    然后,应该能够生成有效的Fuzzing输入!

    • andrew@thinkpad ~/domato/php % python generator.py /dev/stdout
    • Writing a sample to /dev/stdout
    • $vars = array(
    •     "stdClass"                       => new stdClass(),
    •     "Exception"                      => new Exception(),
    •     "ErrorException"                 => new ErrorException(),
    •     "Error"                          => new Error(),
    •     "CompileError"                   => new CompileError(),
    •     "ParseError"                     => new ParseError(),
    •     "TypeError"                      => new TypeError(),
    •     ... etc ...
    • );
    • try { try { $vars["SplPriorityQueue"]->insert(false, array("a" => 1, "b" => "2", "c" => 3.0)); } catch (Exception $e) { } } catch(Error $e) { }
    • try { try { filter_has_var(1000, str_repeat("%s%x%n", 0x100)); } catch (Exception $e) { } } catch(Error $e) { }
    • try { try { posix_access(implode(array_map(function($c) {return "\x" . str_pad(dechex($c), 2, "0");}, range(0, 255))), -1); } catch (Exception $e) { } } catch(Error $e) { }
    • try { try { rand(0, 0); } catch (Exception $e) { } } catch(Error $e) { }
    • try { try { fputcsv(fopen("/dev/null", "r"), array("a" => 1, "b" => "2", "c" => 3.0), str_repeat(chr(135), 65), str_repeat(chr(193), 17) + str_repeat(chr(21), 65537), str_repeat("A", 0x100)); } catch (Exception $e) { } } catch(Error $e) { }
    • try { try { $vars["ReflectionMethod"]->isAbstract(); } catch (Exception $e) { } } catch(Error $e) { }
    • try { try { $vars["DOMProcessingInstruction"]->__construct(str_repeat(chr(122), 17) + str_repeat(chr(49), 65537) + str_repeat(chr(235), 257), str_repeat(chr(138), 65) + str_repeat(chr(45), 4097) + str_repeat(chr(135), 65)); } catch (Exception $e) { } } catch(Error $e) { }
    • try { try { utf8_encode(str_repeat("A", 0x100)); } catch (Exception $e) { } } catch(Error $e) { }
    • try { try { $vars["MultipleIterator"]->current(); } catch (Exception $e) { } } catch(Error $e) { }
    • try { try { dl(str_repeat("A", 0x100)); } catch (Exception $e) { } } catch(Error $e) { }
    • try { try { ignore_user_abort(true); } catch (Exception $e) { } } catch(Error $e) { }

    0x04  开始Fuzz

    现在我们要处理的数据非常多,我们需要以一种最大化检测任何类型的内存损坏的机会的方式构建PHP。为此,我强烈建议使用LLVM Address Sanitizer(ASAN),它将检测任何无效的内存访问,即使它不会立即导致崩溃。

    https://github.com/google/sanitizers/wiki/AddressSanitizer

    用ASAN编译PHP,下载最新版本的源代码在这里,并运行以下命令...

    https://www.php.net/downloads

    • ./configure CFLAGS="-fsanitize=address -ggdb" CXXFLAGS="-fsanitize=address -ggdb" LDFLAGS="-fsanitize=address"
    • make
    • make install

    在Fuzzer运行之前,尝试消除不必要地阻碍该过程的任何条件也是一个好主意。例如,像大多数语言一样,PHP具有一个sleep()函数,该函数接受一个整数参数,并仅等待几秒后才能继续。用较大的值(例如INT_MAX)调用此函数将迅速占用较大的簇。

    还有一些函数可能会导致进程合法地“崩溃”,例如posix_kill()或posix_setrlimit()。我们可能希望从测试语料库中删除这些内容,以减少误报的数量。

    最后,由于PHP文档中列出的许多函数和类实际上在核心安装中不可用(而是从扩展中提供),因此我们不妨从资料集中删除其中的一些函数和类,以避免浪费时间调用不存在的代码。

    最后,经过一番试验,我确定了以下清单...

    • $class_blacklist = array(
    • // Can't actually instantiate
    •     "Closure",
    •     "Generator",
    •     "HashContext",
    •     "RecursiveIteratorIterator",
    •     "IteratorIterator",
    •     "FilterIterator",
    •     "RecursiveFilterIterator",
    •     "CallbackFilterIterator",
    •     "RecursiveCallbackFilterIterator",
    •     "ParentIterator",
    •     "LimitIterator",
    •     "CachingIterator",
    •     "RecursiveCachingIterator",
    •     "NoRewindIterator",
    •     "AppendIterator",
    •     "InfiniteIterator",
    •     "RegexIterator",
    •     "RecursiveRegexIterator",
    •     "EmptyIterator",
    •     "RecursiveTreeIterator",
    •     "ArrayObject",
    •     "ArrayIterator",
    •     "RecursiveArrayIterator",
    •     "SplFileInfo",
    •     "DirectoryIterator",
    •     "FilesystemIterator",
    •     "RecursiveDirectoryIterator",
    •     "GlobIterator",
    • );
    • $function_blacklist = array(
    •     "exit", // false positives
    •     "readline",    // pauses
    •     "readline_callback_handler_install", // pauses
    •     "syslog",    // spams syslog
    •     "sleep", // pauses
    •     "usleep", // pauses
    •     "time_sleep_until", // pauses
    •     "time_nanosleep", // pauses
    •     "pcntl_wait", // pauses
    •     "pcntl_waitstatus", // pauses
    •     "pcntl_waitpid", // pauses
    •     "pcntl_sigwaitinfo", // pauses
    •     "pcntl_sigtimedwait", // pauses
    •     "stream_socket_recvfrom", // pauses
    •     "posix_kill", // ends own process
    •     "ereg", // cpu dos
    •     "eregi", // cpu dos
    •     "eregi_replace", // cpu dos
    •     "ereg_replace", // cpu dos
    •     "similar_text", // cpu dos
    •     "snmpwalk", // cpu dos
    •     "snmpwalkoid", // cpu dos
    •     "snmpget", // cpu dos
    •     "split", // cpu dos
    •     "spliti", // cpu dos
    •     "snmpgetnext", // cpu dos
    •     "mcrypt_create_iv", // cpu dos
    •     "gmp_fact", // cpu dos
    •     "posix_setrlimit"
    • );

    尽管一台机器既可以单独生成样本,但我还是选择了一小组来加快处理速度。我使用了在Intel NUC上运行的 Proxmox 和10个 Debian VM,其工作如下:

    · 节点0:样本生成,托管NFS共享。

    · 节点1-8:Fuzzing节点,从NFS共享中提取样本进行测试。

    · 节点9:“分类”节点:根据崩溃指标对崩溃样本进行分类。

    我创建了简单的原始shell脚本以在每个脚本上运行以执行这些职责,这些脚本可以在上面链接的github repo中找到。


    0x05  分析Crashs

    几分钟内,该Fuzzer就生成了多个崩溃样本,一夜之间就生成了2,000多个。

    通过根据崩溃的指令地址对崩溃进行分类,我能够确定所有2,000个崩溃都是3个错误造成的。其中,有2个显然无法利用(两个都是由于堆栈耗尽导致的OOM错误),但是最后一个似乎是UAF!这是最小化的崩溃示例...


    此错误已在bug#79029中得到修复,应该包含在下一个版本中。在接下来的几篇文章中,我将讨论将其根本原因,实现任意代码执行的过程,以及在此过程中发现的一个巧妙的shellcode技巧。


    搜搜吧社区温馨提示:
    搜搜吧(www.sosoba.org)十分重视网络版权及其他知识产权的保护,针对网络侵权采取如下版权政策:
    1、本站有理由相信网友侵犯任何人的版权或作品,(图文,文字,下载,视频,非法传播),本站有权不事先通知即删除涉嫌侵权的作品和内容
    2、本站将采取必要的网络技术手段,确认为侵权作品或内容的用户有权进行警告、屏蔽、删除的行为,尽可能的防止侵权行为的发生
    3、搜搜吧影视资源均收集自互联网,没有提供影片资源存储,也未参与录制上传,若本站收录的资源涉及您的版权或知识产权或其他利益,我们会立即删除
    4、搜搜吧,删帖,投诉,举报,侵权,若本站侵犯您的权益,附上身份及权利证明,请直接发送邮件到 kefu-sosoba@qq.com 我们将在一个工作日内删除
    Powered by www.sosoba.org Copyright © 2013-2020 搜搜吧社区 小黑屋|手机版|地图|联系站长|腾讯云代金券|帮助中心|公共DNS|seo优化服务|搜搜吧
    广告服务/项目合作/会员购买:QQ 侵权举报邮箱: kefu-sosoba@qq.com  搜搜吧建站时间:创建于2013年07月23日
    免责声明:本站所有的内容均来自互联网以及第三方作者自由发布,版权归原作者版权所有,搜搜吧不承担任何的法律责任,若有侵权请来信告知,我们立即删除!

    GMT+8, 2020-10-23 02:04 , Processed in 0.190880 second(s), 11 queries , MemCache On.

    快速回复 返回顶部 返回列表