SecSem Wiki - Вклад [ru]

Дополнительные главы практической безопасности (2021)/Домашнее задание по фаззингу

2021-04-10T18:06:21Z

Paulchr: /* FAQ по домашке */

= Домашнее задание по фаззингу =

== Первый семинар ==

=== Задача ===

http://fuzzing.tasks.course.secsem.ru/

На первом семинаре мы с вами говорили о том, что CTF задачи на бинарную эксплуатацию довольно часто развивают не те навыки, которые востребованы в реальной жизни. Данная задача направлена на развитие ваших навыков автоматизации поиска уязвимостей, диагностики ошибок и написания репортов по найдённым уязвимостям. Для выполнения задачи вам будет предложено искать реальные уязвимости в реальном продукте при помощи фаззинга.

Исследуемый продукт: GtkVNC — клиент для приложений доступа к удалённого экрану, которые используют протокол RFB. [https://tools.ietf.org/html/rfc6143 RFC на протокол]

Для того, чтобы начать искать уязвимости [https://gist.github.com/PaulCher/d4ed9df3e04e0777198538cd36c79a4c достаточно сделать это...]

Правила игры:
Чем больше уязвимостей Вы найдёте в проекте — тем лучше.
Сколько уязвимостей — неизвестно, но они есть.
Если Вы — первый человек, кто нашёл уязвимость данного типа, то мы вместе непублично репортим уязвимость вендору и регистрируем на Вас идентификатор CVE.
Уязвимости, которые приводят к возможности получения удалённого доступа на клиенте оцениваются выше, чем уязвимости, которые приводят к падению клиента (RCE круче, чем DoS).
Уязвимости искать руками тоже можно не используя фаззинг, это не будет контролироваться.

Для того, чтобы подтвердить, что вы действительно нашли уязвимость вам необходимо будет написать минимальный Proof-of-Concept, который необходимо будет сдать в проверяющую систему. Проверяющая система будет запускать ваш PoC и тестировать, что бинарный пакет gtkvnc, скомпилированный с AddressSanitizer выдаёт типичную для ASAN-a ошибку. Если уязвимость, которую вы нашли не триггерит ASAN, но является уязвимостью (например это ошибка неинициализированной памяти, которую клиент удалённо может считать), то пишите в телеграмм paulchr . Такие уязвимость тоже буду засчитаны.

Прежде, чем посылать эксплоит на сервер рекомендуется убедиться, что вы можете получить ошибку локально, подключившись при помощи клиента GtkVNC, который скомпилирован с библиотекой ASAN. После того как вы убедились в этом, посылайте ваш PoC на сервер. Для этого надо зарегистрироваться на нём, выбрать "Targets" -> "GtkVNC" и загрузить скрипт на сервер. Запускаться он будет через ./poc, так что не забудьте шабанг.

Если PoC успешно пройдёт проверку, то он будет переведён из состояния "in progress" в состояние "success", иначе он перейдёт в состояние "failed". Таймаут работы — одна минута, но если вашему скрипту нужно больше времени на работу, чтобы стриггерить уязвимость, так как он, например, посылает много данных, то это поправимо (пишите в телеграмм). Если после загрузки файла на сервер ваш PoC завис в состоянии "in progreess", "created" или "internal error", то пишите в телеграмм, скорее всего что-то сломалось и я постараюсь это почитать как только так сразу. Система тестируется на людях в первый раз.

Если ваш PoC перешёл в состояние success, то поздравляю, вы стриггерили уязвимость, но это не конец. Для успешного завершения упражнения Вам необходимо написать репорт в проверяющую систему где вы опишете подробно насколько это возможно уязвимость и последствия для программы, к которым она приводит. Описание отправляется на ревью (состояние "on review") и может быть отклонено администраторами системы, если репорт был плохо написан. Примеры таких возможных случаев: причина уязвимости была неверно истолкована или непонятно изложена, импакт данной уязвимости был определён неверно, ваш PoC написан не достаточно понятно или обфусцирован или был загружен бинарный исполняемый файл. В таком случае Ваш submission отправляется в состояние "rejected". Если Вы первым смогли стриггерить данную уязвимость, но плохо написали репорт, и человек после Вас получил успешный статус "success", то он будет считаться первым успешно выполнившим задание, а следовательно, будет претендовать на получение идентификатора CVE, даже если Вы потом успешно заново сдали данную уязвимость.

В окружении в котором будет запускаться ваш PoC есть питон3 и библиотека pwntools. [https://gist.github.com/PaulCher/d86d4db6bba67034e1c4de69e9edafd7 Подробнее об устройстве PoC контейнере]

Делиться информацией о найденных уязвимостях ни с кем категорически нельзя до конца задания!

=== Вспомогательные материалы ===

* [https://github.com/google/AFL/ AFL]
* [https://github.com/google/AFL/blob/master/docs/technical_details.txt AFL technical_details.txt]
* [https://llvm.org/docs/LibFuzzer.html Базовая справка по libFuzzer]
* [https://github.com/Dor1s/libfuzzer-workshop Хороший воркшоп про libFuzzer]
* [https://github.com/google/sanitizers/wiki/AddressSanitizer Документация AddressSanitizer]
* [https://github.com/llvm-mirror/compiler-rt/blob/master/test/fuzzer/AbsNegAndConstant64Test.cpp Пример интересного теста из libFuzzer (да, он и такое умеет)]
* [https://foxglovesecurity.com/2016/03/15/fuzzing-workflows-a-fuzz-job-from-start-to-finish/ Пример фаззинга реального приложения от и до]
* [https://github.com/google/fuzzing/blob/master/tutorial/libFuzzerTutorial.md libFuzzer tutorial]

=== FAQ по домашке ===

* Что делать если "Internal Error"?

Писать в чат в телегремме. На сервере иногда случаются докер-проблемы, но всё что отработало с "Internal Error" будет перепроверено и засчитано.

* Почему мы откатываемся на какой-то коммит? Неужели ты нас обманул и мы ищем уже запатченные уязвимости?

Нет, на коммит я откатился, потому что на нём я тестировал свой фаззер и вместе с ним сбилжен тестовый билд с ASAN-ом на котором проверяются ваши эксплоиты. Соответственно вам тоже удобнее будет тестировать не на последнем коммите, потому что если в проекте с тех пор появились какие-то обновления, то они могут помешать и вы не поймёте что случилось.

* У тебя там тестируется всё локально, поэтому я могу наверное как-то обмануть проверяющую систему и мне засчитается submission?

Скорее всего это не получится. Контейнеры, в которых запускаются ваш PoC и уязвимый бинарь, изолированы друг от друга и от общей докеровской сети. Кстати, в связи с этим будьте внимательны: ваш PoC должен слушать порт 5900 не на 127.0.0.1, а на 0.0.0.0

* Экслоит не работает. Что делать?

Сбилдить указанный коммит с ASAN-ом и проверить руками свой пок.

* Эксплоит работает локально, но не работает удалённо. Что делать?

Проверьте различные проблемы. Проверьте, что первой строчкой в вашем поке идёт шебанг. Вы используете питон версии 3. Ваш пок не использует лишних библиотек. Если вы сидите на винде, то замените все переводы строк с CRLF на LF. Если всё это не работает, то пишите в чат в телеграмме.

* Что должен содержать минимальный репорт?

Подробное описание где конкретно проижошла уязвимость с именами файлов, функций и номерами строк. Что привело к уязвимости: понятное и точное описание с именами переменных. Импакт от данной уязвимости. Может ли данная уязвимость привести к возможности удалённого исполнения кода. Если для этого будут требоваться другие уязвимости, то написать какие именно (например, memory leak). Если при описании импакта Вы не уверены на 100%, то можно написать об этом. Идентификатор [https://cwe.mitre.org/ CWE].

* Где создать репорт?

После того, как ваш PoC отработал со статусом "success" кнопка "Create Report" будет находиться на полной странице вашего submission_a. Там же впоследствии появится комментарий проверяющего после ревью.

== Второй семинар ==

Дополнительные главы практической безопасности (2021)/Домашнее задание по фаззингу

2021-04-10T17:16:24Z

Paulchr: /* Первый семинар */

Дополнительные главы практической безопасности (2021)

2021-04-10T17:04:18Z

Paulchr:

__NOTOC__
'''Дополнительные главы практической безопасности''' — математический спецкурс по выбору, продолжение курса [[Введение_в_практическую_безопасность_(2019)|Введение в практическую безопасность]] (читавшегося в 2019 году).

* '''Когда''': во вторник, 18:20, 16 февраля 2021
* '''Где''': аудитория 612, 2-й учебный корпус, планета Земля, Млечный Путь.

Курс рекомендуется студентам, интересующимся практической безопасностью. Каждое занятие будет иметь формат воркшопа/семинара - будет практическим, на него надо приходить с ноутбуком, а также установленным софтом.

Оценка за курс будет определяться по результатам выполнения практических заданий. За каждое из заданий будут даваться баллы, сумма баллов и определит оценку. Задания будут делиться на обязательные и бонусные. Баллы за все обязательные задания вместе дадут '''10000'''. Гарантируется, что 10000 и больше будут давать оценку "отлично".

Большая часть заданий будет выполнена в формате ctf-тасков<ref>Про CTF и CTF-команду [[Bushwhackers]]</ref>.

== Занятия ==

* '''16.02''' - Веб-безопасность — XXE ([http://xxe.course.secsem.ru/ материалы], [[Дополнительные_главы_практической_безопасности_(2021)/XXE|про эксплуатацию OOB]])
* '''02.03''' - Веб-безопасность — небезопасная десериализация ([//course.secsem.ru/slides/unserialize_php.pdf слайды по небезопасной десериализации PHP])
* '''09.03''' - Веб-безопасность — template injection ([//course.secsem.ru/slides/2021-ssti-dgpb.pdf слайды])
* '''16.03''' - Ошибки неправильного использования криптографии в реальных приложениях ([//course.secsem.ru/slides/dont-roll-your-own-crypto.pdf слайды])
* '''23.03''' - Система типов в языке программирования Rust ([//course.secsem.ru/slides/2021-course-extended-lec5.pdf слайды], [https://course.secsem.ru/wiki/%D0%94%D0%BE%D0%BF%D0%BE%D0%BB%D0%BD%D0%B8%D1%82%D0%B5%D0%BB%D1%8C%D0%BD%D1%8B%D0%B5_%D0%B3%D0%BB%D0%B0%D0%B2%D1%8B_%D0%BF%D1%80%D0%B0%D0%BA%D1%82%D0%B8%D1%87%D0%B5%D1%81%D0%BA%D0%BE%D0%B9_%D0%B1%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D1%81%D1%82%D0%B8_(2021)/%D0%94%D0%BE%D0%BC%D0%B0%D1%88%D0%BD%D0%B5%D0%B5_%D0%B7%D0%B0%D0%B4%D0%B0%D0%BD%D0%B8%D0%B5_%D0%BF%D0%BE_%D1%84%D0%B0%D0%B7%D0%B7%D0%B8%D0%BD%D0%B3%D1%83 домашка])
* '''30.03''' - Фаззинг бинарных программ — основы ([https://course.secsem.ru/wiki/%D0%A4%D0%B0%D0%B9%D0%BB:%D0%A4%D0%B0%D0%B7%D0%B7%D0%B8%D0%BD%D0%B3_-_%D0%BE%D1%81%D0%BD%D0%BE%D0%B2%D1%8B.zip слайды])
* '''06.04''' - Фаззинг бинарных программ — примеры использования в реальной жизни
* '''13.04''' - Фаззинг бинарных программ — возникающие проблемы и способы их решения на основе специализированных фаззеров и техник: kAFL, Redqueen, Grimoire, etc.
* '''20.04''' - Веб-безопасность — атаки на race condition в веб-приложениях
* '''27.04''' - Эскалация привилегий (LPE) в Windows
* '''11.05''' - '''[дистанционно]''' Внутреннее устройство webassembly и как там достигается сэндбоксинг

== Задания ==

[[Дополнительные_главы_практической_безопасности_(2021)/Задания|Задания находятся на этой странице]]

== Примечания ==
<references/>

Дополнительные главы практической безопасности (2021)

2021-04-10T17:01:24Z

Paulchr: /* Занятия */

__NOTOC__
'''Дополнительные главы практической безопасности''' — математический спецкурс по выбору, продолжение курса [[Введение_в_практическую_безопасность_(2019)|Введение в практическую безопасность]] (читавшегося в 2019 году).

* '''Когда''': во вторник, 18:20, 16 февраля 2021
* '''Где''': аудитория 612, 2-й учебный корпус, планета Земля, Млечный Путь.

Курс рекомендуется студентам, интересующимся практической безопасностью. Каждое занятие будет иметь формат воркшопа/семинара - будет практическим, на него надо приходить с ноутбуком, а также установленным софтом.

Оценка за курс будет определяться по результатам выполнения практических заданий. За каждое из заданий будут даваться баллы, сумма баллов и определит оценку. Задания будут делиться на обязательные и бонусные. Баллы за все обязательные задания вместе дадут '''10000'''. Гарантируется, что 10000 и больше будут давать оценку "отлично".

Большая часть заданий будет выполнена в формате ctf-тасков<ref>Про CTF и CTF-команду [[Bushwhackers]]</ref>.

== Занятия ==

* '''16.02''' - Веб-безопасность — XXE ([http://xxe.course.secsem.ru/ материалы], [[Дополнительные_главы_практической_безопасности_(2021)/XXE|про эксплуатацию OOB]])
* '''02.03''' - Веб-безопасность — небезопасная десериализация ([//course.secsem.ru/slides/unserialize_php.pdf слайды по небезопасной десериализации PHP])
* '''09.03''' - Веб-безопасность — template injection ([//course.secsem.ru/slides/2021-ssti-dgpb.pdf слайды])
* '''16.03''' - Ошибки неправильного использования криптографии в реальных приложениях ([//course.secsem.ru/slides/dont-roll-your-own-crypto.pdf слайды])
* '''23.03''' - Система типов в языке программирования Rust ([//course.secsem.ru/slides/2021-course-extended-lec5.pdf слайды])
* '''30.03''' - Фаззинг бинарных программ — основы ([https://course.secsem.ru/wiki/%D0%A4%D0%B0%D0%B9%D0%BB:%D0%A4%D0%B0%D0%B7%D0%B7%D0%B8%D0%BD%D0%B3_-_%D0%BE%D1%81%D0%BD%D0%BE%D0%B2%D1%8B.zip слайды])
* '''06.04''' - Фаззинг бинарных программ — примеры использования в реальной жизни
* '''13.04''' - Фаззинг бинарных программ — возникающие проблемы и способы их решения на основе специализированных фаззеров и техник: kAFL, Redqueen, Grimoire, etc.
* '''20.04''' - Веб-безопасность — атаки на race condition в веб-приложениях
* '''27.04''' - Эскалация привилегий (LPE) в Windows
* '''11.05''' - '''[дистанционно]''' Внутреннее устройство webassembly и как там достигается сэндбоксинг

== Задания ==

[[Дополнительные_главы_практической_безопасности_(2021)/Задания|Задания находятся на этой странице]]

== Примечания ==
<references/>

Файл:Фаззинг - основы.zip

2021-04-10T17:00:27Z

Paulchr: Презентация с семинара по фаззингу

== Краткое описание ==
Презентация с семинара по фаззингу

Дополнительные главы практической безопасности (2021)/Домашнее задание по фаззингу

2021-04-08T20:46:10Z

Paulchr: /* Вспомогательные материалы */

Дополнительные главы практической безопасности (2021)/Домашнее задание по фаззингу

2021-04-08T20:45:46Z

Paulchr: /* Вспомогательные материалы */

Дополнительные главы практической безопасности (2021)/Домашнее задание по фаззингу

2021-04-08T20:40:49Z

Paulchr: /* Задача */

Дополнительные главы практической безопасности (2021)/Домашнее задание по фаззингу

2021-04-07T20:50:20Z

Paulchr: Новая страница: «= Домашнее задание по фаззингу = == Первый семинар == === Задача === === Вспомогательные матер…»

= Домашнее задание по фаззингу =

== Первый семинар ==

=== Задача ===

=== Вспомогательные материалы ===

* [https://github.com/google/AFL/ AFL]
* [https://github.com/google/AFL/blob/master/docs/technical_details.txt AFL technical_details.txt]
* [https://llvm.org/docs/LibFuzzer.html Базовая справка по libFuzzer]
* [https://github.com/Dor1s/libfuzzer-workshop Хороший воркшоп про libFuzzer]
* [https://github.com/google/sanitizers/wiki/AddressSanitizer Документация AddressSanitizer]
* [https://github.com/llvm-mirror/compiler-rt/blob/master/test/fuzzer/AbsNegAndConstant64Test.cpp Пример интересного теста из libFuzzer (да, он и такое умеет)]
* [https://foxglovesecurity.com/2016/03/15/fuzzing-workflows-a-fuzz-job-from-start-to-finish/ Пример фаззинга реального приложения от и до]

== Второй семинар ==