網(wǎng)絡(luò)協(xié)議模糊測試

1、網(wǎng)絡(luò)協(xié)議模糊測試1. 網(wǎng)絡(luò)協(xié)議模糊測試網(wǎng)絡(luò)協(xié)議模糊器的測試對象主要是各類網(wǎng)絡(luò)產(chǎn) 品中的網(wǎng)絡(luò)協(xié) 議解析模塊 ,目的是測試其在組裝、 解 析網(wǎng)絡(luò)協(xié)議過程中是否存 在漏洞。其思想是模糊器通過 Socket 與被測目標(biāo)之間進(jìn)行通信 , 向被測目標(biāo) 應(yīng)用發(fā)送變異或包含錯誤的模糊值 , 并監(jiān)視目標(biāo)應(yīng) 用以發(fā)現(xiàn)錯誤。 使用網(wǎng)絡(luò)協(xié)議模糊器進(jìn)行模糊測試 , 需要首先 研 究各類協(xié)議的標(biāo)準(zhǔn)和標(biāo)準(zhǔn) ,以便創(chuàng)立合理的測試 數(shù)據(jù)。目前，最常見的網(wǎng)絡(luò)協(xié)議模糊測試實(shí)施方案有兩種：方案I為客戶端和效勞端測試模式 , 即模糊器和被測對象分別為測試過 程的兩個端點(diǎn)。此時, 模糊器可充當(dāng)客戶端的角色 , 用來測試效勞 端程序的平安

2、性 , 例如 Web 效勞程序。同 時 ,模糊器也可以充 當(dāng)效勞端的角色 ,用來測試客戶 端程序的平安性 . 模糊器中的監(jiān) 控模塊用來對被測對象的行為進(jìn)行收集、分析以判斷是否存在異 常情況。方案H網(wǎng)絡(luò)協(xié)議模糊測試的實(shí)施方案是為了測試防火墻、路由 器、平安網(wǎng)關(guān)等等部署在網(wǎng)絡(luò)中間的設(shè)備。模糊器構(gòu)造的數(shù)據(jù)被 發(fā)送至協(xié)議效勞器的過程中 , 位于模糊器和協(xié)議效勞器之間的被 測對象對其起到了重組和解析的作用 ,一旦重組和解析過程中出 錯,可能造成被測對象出現(xiàn)異常狀態(tài)。模糊器中的監(jiān)控模塊用來對 被測對象的異常狀態(tài)進(jìn)行收集、分析 ,最終定位漏洞所在。通過此方法可發(fā)現(xiàn)被測對象在網(wǎng)絡(luò)協(xié)議處理過程中的平安漏洞。2.

3、 測試對象理論上，潛在測試目標(biāo)包括任何能夠接受網(wǎng)絡(luò)數(shù)據(jù)的任務(wù)軟 件。0SI7層模型中從數(shù)據(jù)鏈路層到應(yīng)用層每一層都有可能存在實(shí) 現(xiàn)問題，再對測試目標(biāo)進(jìn)行全面審計時，每一層都要進(jìn)行測試。3. 測試方法3.1 強(qiáng)制基于變異模糊測試先使用嗅探器抓取合法的協(xié)議數(shù)據(jù)， 隨后對抓到的數(shù)據(jù)進(jìn)行變 異，將其發(fā)送給目標(biāo)應(yīng)用。但在目標(biāo)應(yīng)用實(shí)現(xiàn)了根本回放攻擊保 護(hù)或協(xié)議包含校驗(yàn)碼的兩種情況下，這種模糊測試無法到達(dá)期望 的測試效果。3.2 智能強(qiáng)制基于生成模糊測試智能強(qiáng)制模糊測試首先需要實(shí)際研究協(xié)議標(biāo)準(zhǔn)。 智能模糊測試 器仍然依靠強(qiáng)制性攻擊，可以依賴用戶提供的配置文件，使模糊 測試的過程更智能。3.3 通過修改客戶端進(jìn)

4、行變異模糊測試將測試嵌入到已經(jīng)實(shí)現(xiàn)了用我們期望的協(xié)議與效勞進(jìn)行通信 的應(yīng)用中，這樣就不用實(shí)現(xiàn)在模糊測試器中實(shí)現(xiàn)整個協(xié)議，給模 糊測試器的開發(fā)者帶來好處，最小化所需投入的經(jīng)歷。4. 錯誤檢測4.1 手工方式基于調(diào)試器在進(jìn)程上附加使用調(diào)試器4.2自動化萬式基于代理設(shè)計一個方案來代替手工調(diào)試過程。不使用調(diào)試器，由模糊測 試者編寫一個面向目標(biāo)平臺的調(diào)試代理并在目標(biāo)應(yīng)用上運(yùn)行之。 監(jiān)視目標(biāo)進(jìn)程中發(fā)生的異常，并于遠(yuǎn)程系統(tǒng)上的模糊測試器進(jìn)行 通信。5. UNIX平臺自動化網(wǎng)絡(luò)協(xié)議模糊測試5.1使用SPIKE模糊測試框架SPIKE用模糊字符串庫中的內(nèi)容迭代模糊變量，達(dá)成模糊測試。模糊此符傳可以是任何數(shù)據(jù)類型，

5、甚至是 XDR編碼的二進(jìn)制數(shù)據(jù) 數(shù)組。SPIKE是一個 GPL的API和一套工具，它使你可以快速創(chuàng)立 任何網(wǎng)絡(luò)協(xié)議壓力測試的測試器。大多數(shù)協(xié)議都是圍繞著非常類 似的數(shù)據(jù)格式化建立的。這些協(xié)議中的許多都已經(jīng)在SPIKE中得到支持。其他的協(xié)議也很快會得到支持。SPIKE使用C語言編寫，運(yùn)行平臺UNIX,框架結(jié)構(gòu)如以下圖所示 框架試圖方便逆向工程師和平安研究人員復(fù)制一個未知的協(xié)議， 框架 包括模糊測試器和支持代碼，包括以下內(nèi)容：名:稱dtedump documentation.encrypted.includeCHANGELOG.txtcleanup.shCOMPTUNGntxtGPL.trfRE

6、ADM IE .tx:TODO.txtL5ir g|_the_ispi p i .txt 理j winkole.reg榻改日朝201 5/5/10 20：&42021/5/18 20:04015/5/18 20:04文脫2021/5/18 20:04?0號才18 2住但文件夾2004/1/15 0:262004/1/15 5:26丈件2004/1/15 8:25文本加2004/1/15 1；2S文本文枯20041/15 8:262004/1/15 8:262004/1/15 S；26交Z欄2004/1/15 8:25注冊言頊14 KB1 KB1 KB15 KS2 KB1 KB6 KD73 KB

7、(1) .webfuzz,提供一許多小工具，以組合一個靈活而全面的web應(yīng)用程序模糊測試工具。Webfuzz完全依賴于瀏覽器來生成它的要求， 它總是正確解析 java 和腳本語言。(2) . Msrpcfuzz:嘗試運(yùn)行ncan_tcp程序，它根本上是隨機(jī)發(fā)送參 數(shù)，如果端口突然關(guān)閉，就發(fā)現(xiàn)了一個潛在的嚴(yán)重錯誤。5.2 針對協(xié)議的模糊測試器SPIKE包含一局部預(yù)先寫好的針對具體協(xié)議的模糊測試器，以 下是這些模糊測試器的列表:HTTP模糊測試器Microsoft RPC模糊測試器X11 模糊測試器Citrix模糊測試器Sun RPC模糊測試器針對協(xié)議的模糊測試腳本SPIKE還包含一些可以嵌入到多

8、個 SPIKE內(nèi)涵的通用模糊測試器中的腳本。腳本列表如下所示8稱修改且期大小了一 BI7TALK20002021/5/1S 20:04IS OFS2021/5/18 20:04匚 OMPAQ2021/5/18 20：M2021/5/18交件夷FTPD2021/5/18 20:04文件夾H3232O15/5/1S【MAP2021/5/18 20:04Ictus2021/5/13 20:04文恃IV15 匚 orrtentlVl anagementSe-rver2021/5/IS 20:04M5QL2021/5/18 20:04J ORACLE2021/5/18 Z0;04文磁2021/5/1S

9、20:04ji pptp2021/5/18 HMM殳核RealServer2021/5/18 20:04SMTP2021/5/18文忌SSL2021/5/18 20:04文件夾,UPNP2021/5/155.3基于腳本的通用模糊測試器SPIKE有幾個通用模糊測試器，他們接收腳本作為輸入，下面列出能 在SPIKE中找到的通用模糊測試器：TCP監(jiān)聽模糊測試器(客戶端)TCP/UDP發(fā)送模糊測試器行緩沖TCP發(fā)送模糊測試器5.4 Pop3模糊測試腳本在pop3中可以查看查看pop3模糊測試腳本s_stri ng_variable(USER);s_stri ng();s_stri ng_variabl

10、e(Admi nistrator);s_stri ng(rn);s_stri ng(PASS );s_stri ng_variable(jb on e);s_stri ng_variable(rn);s_stri ng_variable(STAT);s_stri ng(rn);s_string(LIST );s_string_variable(1);s_string(rn);s_string(RETR );s_string_variable(1);s_string(rn);s_string(DELE );s_string_variable(1); s_string(rn);s_string_v

11、ariable(NOOPrn);s_string_variable(RSETrn); s_string_variable(QUITrn);5.5 常用 APIs_string(char *listring):該函數(shù)將一個固定字符串添加到SPIKE被參加的字符串的值不會被修改。s_stri ng_variable(u nsig nedchar *variable):該函數(shù)將一個可變字符串添加到SPIKE這個字符串在相應(yīng)的ibanliang被處理的時候會被模糊字 符串替換掉。s_binary(char * instring):該函數(shù)將二進(jìn)制數(shù)據(jù)添加到 SPIKE參加的數(shù)據(jù)值不會被修改。6. Win

12、dows 平臺上的網(wǎng)絡(luò)協(xié)議的模糊測試在windows下使用C#進(jìn)行模糊測試工具開發(fā)，可以創(chuàng)立友好的用戶 界面。直接調(diào)用。 Net 封裝函數(shù)，節(jié)省工作量。6.1 構(gòu)建數(shù)據(jù)包利用數(shù)據(jù)包變異方法， 用戶基于已有的合法數(shù)據(jù)包創(chuàng)立一個模板， 在 模板中知名需要修改的局部，從而滿足模糊測試的需要。6.2 抓取數(shù)據(jù)WinPcap使用c語言編寫，所以在C#環(huán)境下，使用Metro Packet庫來 抓取數(shù)據(jù)包。6.3 解析數(shù)據(jù)在抓取到數(shù)據(jù)后， 對被抓取的數(shù)據(jù)進(jìn)行解析， 以易于被理解的格式展 現(xiàn)數(shù)據(jù)都的內(nèi)容。6.4 模糊測試變量在觀察和抓取到網(wǎng)絡(luò)數(shù)據(jù)后， 我們需要允許用戶表示數(shù)據(jù)包中適合進(jìn) 行變異的位置， 以便進(jìn)

13、行模糊測試。 為此我們允許用戶在以十六進(jìn)制 方式顯示的數(shù)據(jù)內(nèi)容中參加簡單的標(biāo)簽，說明進(jìn)行模糊測試的局部。ProtoFuzz工具使用下面這些標(biāo)簽：XX-表示強(qiáng)制，將使用所有可能的字節(jié)值用方括號括起來的字節(jié) 進(jìn)行模糊測試。將每一個字節(jié)模糊測試 256 次。表示字符串，從用戶控制的文本文件中獲得預(yù)定義的，可變 長的，以十六進(jìn)制方式表示的字符串進(jìn)行模糊測試。6.5 發(fā)送數(shù)據(jù) 創(chuàng)立一個可以有用戶指定數(shù)據(jù)包中任何字節(jié)的值的裸數(shù)據(jù)包， 由程序 員來保證數(shù)據(jù)包符合RFC定義的結(jié)構(gòu)，提供更好的細(xì)節(jié)控制能力，是 的用戶可以對協(xié)議頭進(jìn)行模糊測試6.6 ProtoFuzz 工具代碼結(jié)構(gòu)UpgradeReport Files2021/5/18 21:33文恢Backup2021/5/18 21:33文磁ProtoFuzz2006/11/6 22:14文恢色 Metro.dll2006/11/6 3:4892 KB口 ProtoFuzz.sIn2021/5