1、網(wǎng)絡(luò)協(xié)議模糊測(cè)試1. 網(wǎng)絡(luò)協(xié)議模糊測(cè)試網(wǎng)絡(luò)協(xié)議模糊器的測(cè)試對(duì)象主要是各類網(wǎng)絡(luò)產(chǎn) 品中的網(wǎng)絡(luò)協(xié) 議解析模塊 ,目的是測(cè)試其在組裝、解 析網(wǎng)絡(luò)協(xié)議過(guò)程中是否存 在漏洞。其思想是模糊器通過(guò) Socket 與被測(cè)目標(biāo)之間進(jìn)行通信 , 向被測(cè)目標(biāo) 應(yīng)用發(fā)送變異或包含錯(cuò)誤的模糊值 , 并監(jiān)視目標(biāo)應(yīng) 用以發(fā)現(xiàn)錯(cuò)誤。使用網(wǎng)絡(luò)協(xié)議模糊器進(jìn)行模糊測(cè)試 , 需要首先 研 究各類協(xié)議的規(guī)范和標(biāo)準(zhǔn) ,以便創(chuàng)建合理的測(cè)試 數(shù)據(jù)。目前，最常見的網(wǎng)絡(luò)協(xié)議模糊測(cè)試實(shí)施方案有兩種：方案I為客戶端和服務(wù)端測(cè)試模式 , 即模糊器和被測(cè)對(duì)象分別為測(cè)試過(guò) 程的兩個(gè)端點(diǎn)。此時(shí), 模糊器可充當(dāng)客戶端的角色 , 用來(lái)測(cè)試服務(wù) 端程序的安全性

2、, 例如 Web 服務(wù)程序。同 時(shí) ,模糊器也可以充 當(dāng)服務(wù)端的角色 ,用來(lái)測(cè)試客戶 端程序的安全性 . 模糊器中的監(jiān) 控模塊用來(lái)對(duì)被測(cè)對(duì)象的行為進(jìn)行收集、分析以判斷是否存在異 常情況。方案H網(wǎng)絡(luò)協(xié)議模糊測(cè)試的實(shí)施方案是為了測(cè)試防火墻、路由 器、安全網(wǎng)關(guān)等等部署在網(wǎng)絡(luò)中間的設(shè)備。模糊器構(gòu)造的數(shù)據(jù)被 發(fā)送至協(xié)議服務(wù)器的過(guò)程中 , 位于模糊器和協(xié)議服務(wù)器之間的被 測(cè)對(duì)象對(duì)其起到了重組和解析的作用,一旦重組和解析過(guò)程中出錯(cuò),可能造成被測(cè)對(duì)象出現(xiàn)異常狀態(tài)。模糊器中的監(jiān)控模塊用來(lái)對(duì) 被測(cè)對(duì)象的異常狀態(tài)進(jìn)行收集、分析 ,最終定位漏洞所在。通過(guò)此方法可發(fā)現(xiàn)被測(cè)對(duì)象在網(wǎng)絡(luò)協(xié)議處理過(guò)程中的安全漏洞2. 測(cè)試對(duì)象

3、理論上，潛在測(cè)試目標(biāo)包括任何能夠接受網(wǎng)絡(luò)數(shù)據(jù)的任務(wù)軟件。 0SI7層模型中從數(shù)據(jù)鏈路層到應(yīng)用層每一層都有可能存在實(shí)現(xiàn)問(wèn) 題，再對(duì)測(cè)試目標(biāo)進(jìn)行全面審計(jì)時(shí)，每一層都要進(jìn)行測(cè)試。3. 測(cè)試方法3.1 強(qiáng)制（基于變異）模糊測(cè)試先使用嗅探器抓取合法的協(xié)議數(shù)據(jù)， 隨后對(duì)抓到的數(shù)據(jù)進(jìn)行變異，將其發(fā)送給目標(biāo)應(yīng)用。但在目標(biāo)應(yīng)用實(shí)現(xiàn)了基本回放攻擊保 護(hù)或協(xié)議包含校驗(yàn)碼的兩種情況下，這種模糊測(cè)試無(wú)法達(dá)到期望 的測(cè)試效果。3.2 智能強(qiáng)制（基于生成）模糊測(cè)試智能強(qiáng)制模糊測(cè)試首先需要實(shí)際研究協(xié)議規(guī)范。 智能模糊測(cè)試 器仍然依靠強(qiáng)制性攻擊，可以依賴用戶提供的配置文件，使模糊 測(cè)試的過(guò)程更智能。3.3 通過(guò)修改客戶端進(jìn)行變

4、異模糊測(cè)試將測(cè)試嵌入到已經(jīng)實(shí)現(xiàn)了用我們期望的協(xié)議與服務(wù)進(jìn)行通信 的應(yīng)用中，這樣就不用實(shí)現(xiàn)在模糊測(cè)試器中實(shí)現(xiàn)整個(gè)協(xié)議，給模 糊測(cè)試器的開發(fā)者帶來(lái)好處，最小化所需投入的經(jīng)歷。4. 錯(cuò)誤檢測(cè)4.1 手工方式（基于調(diào)試器）在進(jìn)程上附加使用調(diào)試器4.2自動(dòng)化方式（基于代理）設(shè)計(jì)一個(gè)方案來(lái)代替手工調(diào)試過(guò)程。不使用調(diào)試器，由模糊測(cè)試者編寫一個(gè)面向目標(biāo)平臺(tái)的調(diào)試代理并在目標(biāo)應(yīng)用上運(yùn)行之。監(jiān)視目標(biāo)進(jìn)程中發(fā)生的異常，并于遠(yuǎn)程系統(tǒng)上的模糊測(cè)試器進(jìn)行通信。5. UNIX平臺(tái)自動(dòng)化網(wǎng)絡(luò)協(xié)議模糊測(cè)試5.1使用SPIKE莫糊測(cè)試框架SPIKE用模糊字符串庫(kù)中的內(nèi)容迭代模糊變量， 達(dá)成模糊測(cè)試。模糊此符傳可以是任何數(shù)據(jù)類型，

5、甚至是 XDR編碼的二進(jìn)制數(shù)據(jù) 數(shù)組。SPIKE是一個(gè)GPL的API和一套工具，它使你可以快速創(chuàng)建 任何網(wǎng)絡(luò)協(xié)議壓力測(cè)試的測(cè)試器。大多數(shù)協(xié)議都是圍繞著非常類 似的數(shù)據(jù)格式化建立的。這些協(xié)議中的許多都已經(jīng)在SPIKE中得到支持。其他的協(xié)議也很快會(huì)得到支持。SPIKE使用C語(yǔ)言編寫，運(yùn)行平臺(tái)UNIX,框架結(jié)構(gòu)如下圖所示I W HWW E ” IVII 1惜改日嘲大小£015/5/1 S£0：04文帳dc#dump?01 5/5/10 30=04docu mentation201 5/5/1 fl 20:04encrypted2015/5/18 20:04iricludr2015

6、/5/18 20；04arc?015W18 20：Q4_ CHANGELCG.txt2004/1/15 8:2614 KB13 cleanup.sh2004/1/15 &:26sh vn1 ICBCOMPLTNG,txt200-1/1/1 5 S:261 KB_ GPL.M2004/1/15 e：26文本立檔15 KBKtAUMt.tXi2004/1/1 5 8:262 KB_ TODO.txti004/1/15 S1Z6文本文1 KB_ us i n g_th e_sp i lke_a pi-txt2004/1/15 &:26文本加6 ICB也 win2kolexeg20Q4

7、<1/1 5 8;26注曰表取73 KB框架試圖方便逆向工程師和安全研究人員復(fù)制一個(gè)未知的協(xié)議， 框架 包括模糊測(cè)試器和支持代碼，包括以下內(nèi)容：(1) .webfuzz,提供一許多小工具，以組合一個(gè)靈活而全面的web應(yīng)用程序模糊測(cè)試工具。Webfuzz完全依賴于瀏覽器來(lái)生成它的要求， 它總是正確解析 java 和腳本語(yǔ)言。(2) . Msrpcfuzz:嘗試運(yùn)行ncan_tcp程序，它基本上是隨機(jī)發(fā)送參 數(shù)，如果端口突然關(guān)閉，就發(fā)現(xiàn)了一個(gè)潛在的嚴(yán)重錯(cuò)誤。5.2 針對(duì)協(xié)議的模糊測(cè)試器SPIKE包含一部分預(yù)先寫好的針對(duì)具體協(xié)議的模糊測(cè)試器，以 下是這些模糊測(cè)試器的列表:HTTP模糊測(cè)試器Mi

8、crosoft RPC模糊測(cè)試器X11 模糊測(cè)試器Citrix模糊測(cè)試器Sun RPC模糊測(cè)試器針對(duì)協(xié)議的模糊測(cè)試腳本SPIKE還包含一些可以嵌入到多個(gè) SPIKE內(nèi)涵的通用模糊測(cè)試器中的腳本。腳本列表如下所示償改日期大小B7TALK20002015/5/1 fi 20:04文收 CIFS2015/5/18 2004COMPAQ2015/5/1B 2&04文彳垛2015/5/18 20;04文恢FTPD2015/5/18 2004丈件孌 H323£ IMAP2015/5/18 20:04占 lotus2015/5/18 20:<M,.匚ontentM anagement

9、Seruer2O15/5/1S 20:04MESQL2015/5/1S 20:04山 ORACLE2015/5/18 20:04文恢J, POP32015/5/16 20:04文收PPTP2015/5/18 20;04RealServer2015/5/18 20:04文作SMTP2015/5/18 20;04文頤i丸L2015/5/18 20:04.UPMP5.3基于腳本的通用模糊測(cè)試器SPIKE有幾個(gè)通用模糊測(cè)試器，他們接收腳本作為輸入，下面列出能 在SPIKE中找到的通用模糊測(cè)試器：TCP監(jiān)聽模糊測(cè)試器(客戶端)TCP/UDP發(fā)送模糊測(cè)試器行緩沖TCP發(fā)送模糊測(cè)試器5.4 Pop3模糊測(cè)試

10、腳本在pop3中可以查看pop3.spk查看pop3模糊測(cè)試腳本s_stri ng_variable("USER");s_stri ng("");s_stri ng_variable("Admi nistrator");s_stri ng("rn");s_stri ng("PASS ");s_stri ng_variable("jb on e");s_stri ng_variable("rn");s_stri ng_variable("STAT&

11、quot;);s_stri ng("rn");s_string("LIST "); s_string_variable("1"); s_string("rn");s_string("RETR ");s_string_variable("1");s_string("rn");s_string("DELE ");s_string_variable("1");s_string("rn");s_strin

12、g_variable("NOOPrn");s_string_variable("RSETrn"); s_string_variable("QUITrn");5.5 常用 APIs_string(char *listring):該函數(shù)將一個(gè)固定字符串添加到 SPIKE被加入 的字符串的值不會(huì)被修改。s_stri ng_variable(u nsig ned char *variable):該函數(shù)將一個(gè)可變字符串添加到SPIKE這個(gè)字符串在相應(yīng)的ibanliang被處理的時(shí)候會(huì)被模糊字 符串替換掉。s_binary(char * inst

13、ring):該函數(shù)將二進(jìn)制數(shù)據(jù)添加到 SPIKE加入的數(shù)據(jù)值不會(huì)被修改。6. Windows 平臺(tái)上的網(wǎng)絡(luò)協(xié)議的模糊測(cè)試在windows下使用C#進(jìn)行模糊測(cè)試工具開發(fā)，可以創(chuàng)建友好的用戶界面。直接調(diào)用。 Net 封裝函數(shù)，節(jié)省工作量。6.1 構(gòu)建數(shù)據(jù)包利用數(shù)據(jù)包變異方法， 用戶基于已有的合法數(shù)據(jù)包創(chuàng)建一個(gè)模板， 在模板中知名需要修改的部分，從而滿足模糊測(cè)試的需要。6.2 抓取數(shù)據(jù)WinPcap使用c語(yǔ)言編寫，所以在C#環(huán)境下，使用Metro Packet庫(kù)來(lái) 抓取數(shù)據(jù)包。6.3 解析數(shù)據(jù)在抓取到數(shù)據(jù)后， 對(duì)被抓取的數(shù)據(jù)進(jìn)行解析， 以易于被理解的格式展 現(xiàn)數(shù)據(jù)都的內(nèi)容。6.4 模糊測(cè)試變量在觀察

14、和抓取到網(wǎng)絡(luò)數(shù)據(jù)后， 我們需要允許用戶表示數(shù)據(jù)包中適合進(jìn) 行變異的位置， 以便進(jìn)行模糊測(cè)試。 為此我們?cè)试S用戶在以十六進(jìn)制 方式顯示的數(shù)據(jù)內(nèi)容中加入簡(jiǎn)單的標(biāo)簽，表明進(jìn)行模糊測(cè)試的部分。ProtoFuzz工具使用下面這些標(biāo)簽：XX-表示強(qiáng)制，將使用所有可能的字節(jié)值用方括號(hào)括起來(lái)的字節(jié) 進(jìn)行模糊測(cè)試。將每一個(gè)字節(jié)模糊測(cè)試 256 次。<XX >表示字符串，從用戶控制的文本文件中獲得預(yù)定義的，可變 長(zhǎng)的，以十六進(jìn)制方式表示的字符串進(jìn)行模糊測(cè)試。6.5 發(fā)送數(shù)據(jù) 創(chuàng)建一個(gè)可以有用戶指定數(shù)據(jù)包中任何字節(jié)的值的裸數(shù)據(jù)包， 由程序 員來(lái)保證數(shù)據(jù)包符合RFC定義的結(jié)構(gòu)，提供更好的細(xì)節(jié)控制能力，是 的用戶可以對(duì)協(xié)議頭進(jìn)行模糊測(cè)試6.6 ProtoFuzz工具代碼結(jié)構(gòu)UpgradeReport Files2015/5/18 21:33文朕Backup2015/5/18 21:33文磁ProtoFuzz2006/11/6 22:14文缺色 Metro.dll2006/11/6 3:48應(yīng)用程序擴(kuò)屋92 KBSj ProtoFu