如何利用OOB数据绕过防火墙对shellcode的拦截

 

一、前言

在最近一篇文章中,我分享了可以绕过防火墙的一种shellcode技术,这种技术基于socket本身的生命周期,在某些利用场景中可以派上用场。关于这类shellcode(复用socket/连接)我想与大家分享另一种技术,这种技术在针对Windows系统的某些远程利用场景中非常有用(比如防火墙禁用出站连接,无法使用反向shell的场景)。

对其他系统而言(比如Linux系统),这并不是一种全新的技术。实际上bkbll(HTRAN的开发者之一)曾在多年前使用这种方法来复用连接,这也是我在Windows上实现这种技术的原因所在。请大家记住一点,与我在前一篇文章中提到的一样,这类shellcode非常特别,只适用于某些特定的利用场景,并且有时候利用起来比较麻烦。可能这种方法在每个目标的应用上较为困难、耗时较久,因此攻击者以及渗透测试人员更倾向于使用“通用型”payload。

 

二、OOB数据

TCP允许我们在同一信道中发送OOB(out of band,带外)数据,标识TCP流中的某些信息需要接收方尽快处理,许多人对该特性并不是特别了解。某些服务通常会使用这种功能发送针对特殊情况的通知(如取消数据传输场景)。

我们可以在send函数中通过MSG_OOB标志发送OOB数据。当使用这种方式时,TCP栈会构造带有URG标志的一个数据包,将OOB数据所在的偏移地址填充到Urgent Pointer中。

为了感知到这类数据,接收端必须使用MSG_OOB标志来调用recv函数,否则只会从数据流中读取“正常的”数据(没有使用SO_OOBINLINE选项来设置socket)。如果想更深入理解这种机制的工作原理,大家可以参考此处链接

这一点对我们而言非常重要,如果某个应用程序无法处理OOB数据,那么即使我们发送了OOB数据,该应用也会像正常情况下处理TCP流。只有调用了对应的API,才可以获取到这类数据。那么我们如何利用这种特性呢?非常简单,在构造实际利用场景时,我们只需要在shellcode运行之前,在某些数据包中发送OOB数据(只需1字节即可)。stager只需要暴力遍历可能的socket,寻找带有OOB特征的socket即可。C语言版的实现如下所示:

我以Metasploit中的reverse TCP shellcode作为模板来开发能够处理这种逻辑的stager。我将模板中用来生成反向连接的代码段替换为如下代码:

红框中的asm代码负责遍历所有的socket描述符,直至找到带有OOB字节的socket为止。请注意,由于这种shellcode利用的是socket的生命周期(参考之前的文章),因此stager不会受NAT影响。

 

三、PoC:FTP Exploit

我们来看一下如何在Windows远程利用场景中使用这种技术。我们的测试目标为Konica Minolta FTP服务器,利用了该服务器中的一个漏洞。如果我们在漏洞利用中使用了之前的payload(windows/shell_reverse_tcp),那么就会生成两个连接:(1)用来触发漏洞的连接;(2)由stager创建的连接,回连到我们的4444端口。

如果防火墙限制了出站连接,那么就会阻止反向shell,导致我们攻击失败。现在来看看如何构造我们的“单向式shellcode”。

首先我们稍微修改发送到目标服务的数据,来看一下服务端会有什么反应。我们可以在USER Anonymous字符串末尾添加一个新字节(一个A),(通过MSG_OOB标志)将其作为OOB数据发送。

为了全面了解FTP服务对通信数据的处理过程,我选择使用Frida。Frida是我很喜欢的一款工具,可以帮我们节省大量的调试时间。我使用如下脚本来执行frida-trace,以便获取recv API返回的所有参数及值(之前我也使用frida-trace来识别用来发送/接收数据的API,如sendsendtorecvrecvfromWSASend以及WSARecv等)。

开始利用漏洞后,我们可以观察到如下结果,其中最重要的数据已用红框标注出来。需要注意的是,recv函数在获取User anonymous时返回的是0x10字节(而非0x11字节),也就是说,该函数并没有考虑到以OOB形式发送的额外字节。根据这一信息,我们可以推测目标服务并没有使用SO_OOBINLINE来设置socket句柄(如果设置该标志,则会在读取正常数据流时一并读取OOB数据)。

因此,我们只需要知道用来收集存在漏洞的命令(这里为CWD)的缓冲区大小,以便调整偏移量。当stager找到socket句柄时,就会执行如下代码。这里我没有发送payload的大小,而是直接调用VirtualAlloc来保留一个足够大的缓冲区(4MB)。之所以在eax等于FFFFFFF时停止接收数据,是因为这种情况下socket为非阻塞(non-blocking)状态,如果无法从缓冲区中获取更多数据,那么就会返回WSAEWOULDBLOCK。这种方式不是特别稳定,可以添加更多逻辑(如添加GetLastError API),但作为PoC来说这样处理已经足够。

接下来生成汇编代码,使用msfvenom进行混淆处理:

我使用Visual Studio编译的一个简单程序作为payload,功能特别简单,只是弹出一个MsgBox。为了将.exe转换为“可映射”版本(这样才能以反射方式加载),我使用了Amber这款工具。

最终利用代码如下:

这里还要强调一点。对于这次利用过程,我将OOB字节在恶意缓冲区之前发送(并且只发送一次)。正确的做法是尽可能将OOB字节贴近能够触发漏洞的代码,具体原因参考如下解释

如果没有设置SO_OOBINLINE socket选项,并且发送程序发送的OOB数据大于1字节,那么除最后1字节之外的所有字节都会被当成普通数据(普通数据意味着接收程序不需要设置MSG_OOB标志就能接收数据)。已发送的OOB数据的最后1个字节并没有存储在普通数据中,只有通过MSG_OOB标志调用recv()recvmsg()或者recvfrom() API才能提取该字节。如果没有通过MSG_OOB标志来接收数据,那么收到普通数据后OOB字节就会被删除。此外,如果发送了多个OOB数据,那么前一次OOB数据就会被丢弃,接收端只会记住最后一次出现的OOB数据的具体位置。

再次攻击该服务后,Wireshark的抓包结果如下所示,这里只看到一个会话:

需要注意的是,虽然这种利用方式非常容易构造,但前面我提到过,有时候我们很难或者不可能在某些利用场景中使用这种方法。有时候被利用的进程本身并没有使用socket句柄,有时候即便进程中用到了socket句柄,但watchdog或者其他线程可能会破坏我们payload的功能。

大家可以访问我的Github获取相关代码,演示过程可参考此处视频

(完)