一、前言
近年来网络安全形势日渐严峻,国内外都开始对工控安全越来越重视,而工控领域由于常年来对安全的忽视,导致暴露出数量惊人的严重安全漏洞,更为严重的是,相当一部分厂商即使在漏洞披露出来后也没有能力去修复。从实战出发,以一个国产的SCADA软件作为例子,介绍对工控软件的漏洞挖掘方法,希望通过这篇文章能够让越来越多的安全研究员重视工控领域的安全。
二、漏洞挖掘
先简单画一个界面,快速组态一个工程并且运行后,可以发现该软件提供web接口去访问该操作界面。
局域网访问是默认开启的:
这部分的逻辑主要是NodeJS编写的,可以通过传统的web漏洞挖掘思路去分析存在的安全问题,例如XSS,CSRF,敏感信息泄露,越权等。
分析其和服务端通信的数据包,可以发现还有一部分操作逻辑走的是websocket协议,数据会直接传到一个用c/c++编写的程序中处理,于是想到分析该软件数据处理存在的问题。
不出意外,IDA分析后很快定位了一个基于栈的缓冲区溢出问题。漏洞出在0x1功能码中,会将json中的value的值直接拷贝到栈上,导致缓冲区溢出:
三、漏洞利用
通过上面的分析可以知道,该漏洞是非常经典的栈缓冲区溢出漏洞。在利用这个漏洞之前,先要分析该二进制程序开启的缓解措施,幸运的是,该二进制文件都关闭所有的漏洞缓解措施了,这就非常方便我们对漏洞进行利用。
对于这类栈溢出漏洞,传统的方法是把shellcode部署在栈上,然后通过跳板指令jmp esp跳转到shellcode达到代码执行的目的。值得注意的是,由于payload是通过json进行传入的,所以shellcode和跳板指令(jmp esp)的地址字节值不能大于0x7e,否则会被js进行转码(实在找不到合适的jmp esp指令可以寻找合适的ROP替代)。
使用一个弹出对话框的payload进行测试,shellcode使用编码器进行编码来保证payload能够正常传到二进制程序中处理:
msfvenom -a x86 --platform windows -p windows/messagebox TEXT="hello world" -e x86/alpha_mixed -b '\x5c\x22\x27\x08\x0c\x09\x0d\x0a\x00' BufferRegister=esp
在内存中搜索特征码,寻找符合条件的跳版指令:
整理exp如下:
攻击效果为弹出一个”hello world”弹框:
四、结语
由于现在的上位机SCADA软件的基础组件还是主要由C/C++进行开发,所以不可避免还是存在一些内存破坏类漏洞。这类漏洞轻则造成拒绝服务,重则造成远程代码执行。尤其是关键工业生产行业中,就算无法成功利用也可以导致拒绝服务,会造成重大损失。用户需要有安全意识,及时更新工控软件安全补丁,工控厂商也要培养开发者的安全开发能力,并对提交漏洞快速进行响应,提出修复和缓解措施。