飞塔防火墙漏洞深度利用及调试环境搭建-先知社区

环境搭建

通过官方下载附件，导入forigate-vm

图片加载失败

飞塔激活

可以参考下面师傅给出的脚本进行激活

rrrrrrri/fgt-gadgets: Fortigate related tools

网卡ip配置：

然后设置第一个网卡为Nat模式

图片加载失败

配置网卡

配置好之后就可以访问了

图片加载失败

配置 sslvpn

我们需要开启sslvpn的功能，需要对防火墙进行以下配置

SSLVPN_address subnet_addres ubuntu22

图片加载失败

再创建一个新的用户

图片加载失败

修改 vpn 门户，并进入 full-access 修改界面 VPN —–> SSL-VPN-Portals—-> full-access

图片加载失败

进入vpn中修改设置如下：

图片加载失败

接着修改防火墙配置策略

图片加载失败

然后就可以访问4433端口

图片加载失败

调试环境搭建 gdbserver+gdb

提取固件

1、安装libguestfs

libguestfs 是一组 Linux 下的 C 语言的 API ，用来访问虚拟机的磁盘映像文件，几乎可访问任意类型的文件系统。

2、查看磁盘分区情况

图片加载失败

3、挂载

这里踩雷了不建议用这种方式挂载建议在vmware上进行挂载用上面这种方式可能导致你覆盖文件的时候覆盖的是缓存

图片加载失败

4、挂载成功后，rootfs.gz为文件系统压缩包，我们将其复制出来

图片加载失败

复制出来后赋权解压

图片加载失败

gdb

准备一个busybox 提供完成的sh指令，fgt自带的sh缺少很多指令

这里容易编译失败建议多换几个版本试试

配置busybox

开始编译遇到的报错是这样

图片加载失败

查了下是tc这部分的问题但奇怪的是我有导入头文件于是我就把这部分用make menuconfig中去掉了 Networking Utilities 中tc 然后在编译

配置gdbserver

在命令行中执行

diagnose hardware smartctl

系统会执行 /bin/smartctl 程序；

可以自己重新写个smartctl放进去、复用22端口为sh

gcc编译后放入bin中

反编译内核文件flatkc

在代码中我们可以看到启动的是init文件因此我们可以patch init文件

我们把/bin/init的文件这部分patch 只要涉及到do_halt函数 call的全部patch掉

所有这些做完后就可以重打包了

然后提权把roofts.gz覆盖原来的就可以了

接下来我们把flatkc 提取出来这是内核文件我们把内核转化为二进制文件进行分析和调试

踩的坑我开始安装的时候出现了这个报错

图片加载失败

我的解决办法是手动安装

你可以手动克隆

python-lzo

库到本地，然后再进行安装：

然后在执行后面的就没问题了

图片加载失败

然后就可以启动飞塔进行调试了启动后飞塔如果一直在重启状态就说明我们覆盖成功了这是因为飞塔一直过不了身份验证

也就是这个位置

图片加载失败

我们就直接断点到这个位置：

图片加载失败

发现断的不是我们的断点这里的原因暂不清楚但是解决办法就是，无论如何别按那个绿色箭头，你只需要理解你一直c 它是会一直重启的它重启就会反复执行start_kernel这个流程，那么你可以尝试先往最开始的点断然后一点一点的接近你要断的点

图片加载失败

先断在这里再断在我们开始要断的位置就可以了

图片加载失败

过了这里 ni 然后 set $rax=0 再c就可以进去了

图片加载失败

然后测试一下后门

图片加载失败

成功拿到shell

漏洞深度利用

A heap-based buffer overflow vulnerability [CWE-122] in FortiOS SSL-VPN 7.2.0 through 7.2.2, 7.0.0 through 7.0.8, 6.4.0 through 6.4.10, 6.2.0 through 6.2.11, 6.0.15 and earlier and FortiProxy SSL-VPN 7.2.0 through 7.2.1, 7.0.7 and earlier may allow a remote unauthenticated attacker to execute arbitrary code or commands via specifically crafted requests.

在 FortiOS SSL-VPN 7.2.0 至 7.2.2、7.0.0 至 7.0.8、6.4.0 至 6.4.10、6.2.0 至 6.2.11、6.0.15 及更早版本，以及 FortiProxy SSL-VPN 7.2.0 至 7.2.1、7.0.7 及更早版本中，存在一个基于堆的缓冲区溢出漏洞 [CWE-122]。该漏洞可能允许远程未经身份验证的攻击者通过特制的请求执行任意代码或命令。

带sh环境下的攻击

real环境下的攻击

图片加载失败

这里就不得不提一嘴 system和exec系列函数命令执行的区别了：

1、system()和exec()都可以执行进程外的命令，system是在原进程上开辟了一个新的进程，但是exec是用新进程(命令)覆盖了原有的进程。

2、system()和exec()都有能产生返回值，system的返回值并不影响原有进程，但是exec的返回值影响了原进程。

3、system需要先启动一个shell才能运行指定的命令，调用system函数执行指定命令时，原进程会暂停等待，之后再继续进行；调用exec函数开启新进程后，原进程将被直接关闭。

那这里没有/bin/sh 那我们命令执行可以攻击的思路是什么呢？我们为什么要这么做呢？

1.我们可以通过命令执行下载编译好的busybox 来达到被阉割的shell现状

2.我们可以直接通过rop上传我们要执行的文件

这里更多的是推荐思路1，因为文件上传如果文件过大的话容易导致连接崩溃

这里就得考虑构造rop，因为exec有两种类型，一个是数组传参，另一个是参数传参，但是从上面的攻击过程也就是system的攻击过程，其实我们是可以发现 gadget是有点不够的，越打的后面越没有好用的gadget ，因为你不能破坏前面布置好的参数，并且我们可以写入的rop链也是有长度限制的，还有一个比较要命的问题，你要下载busybox 到本地那就得传送ip 而这个字符串是肯定超过了8字节的，这就会导致我们构造参数时会多出不可控的字符串。导致如果考虑 char 列表来调用的话 rop chain 会修改的非常麻烦！！！(这就是数组传参的弊端)

那以上两个思路基本都走死走不通的话，我们就不考虑走rop了，用ctf的思路把rop传化为shellcode就可以实现任意gadget了，但是没有

可执行权限开了nx保护这里就想到用mprotect 开一段可执行权限的段，然后前面打system的时候可以看到寄存器上是有残余段的地址的，我们只需要通过rop去执行mprotect 然后就可以快乐的写shellcode去命令执行了

图片加载失败

攻击构造过程

mprotect所需要的参数(addr,len,prot) 也就是我们要劫持rdi rsi rdx这三个参数并且调用call mprotect

图片加载失败

gdb-peda$ 0x7ff1e109cd78 0x7ff1e0f42000 0x7ff1e11c2000 0x280000 0x0 rw-p

我们写的位置属于这个段

0x7ff1e0f42000- 0x7ff1e109cd78 =FFFF FFFF FFEA 5288

这里是残存的参数rdx

利用gadget如下

图片加载失败

然后我们只需要利用jmp rsp跳转就可以执行shellcode了这里为了方便我们可以直接接着jmp rsp后面写shellcode

shellcode思路

由于我们这里写入的字节有限大概0xc0长度的样子，如果要写比较麻烦的命令执行可能不够，这里我的思路是去迁移rip到0x620+8的这个位置也就是lea rax, [rip + 0x69] 然后就有了基本没有长度限制的shellcode的机会，还有种思路就是构造一个read 但是我这里syscall下去 gdb并没有卡住等待读取，目前不知道什么原因，所以就走思路一了