上尉
- 注册时间
- 2009-12-9
- 金币
- 916 个
- 威望
- 2 个
- 荣誉
- 1 个
尚未签到
|
发表于 2010-6-23 20:08
图/文:杨 哲/Longas 【ZerOne】
' ^0 W' k# u+ y2 n8 ]5 {' I h3 D! g: `: Y
随便逛一下,发现longas大哥的作品发布到了非安全,小弟利用搜索功能[搜索选项-作者],出现如此代码
4 Q* B; o/ ]" x) w9 G% ~( e- http://forum.anywlan.com/search.php?searchid=348&orderby=lastpost&ascdesc=desc&searchsubmit=yes
% v( R' F9 G4 [: P& }呵呵,小弟多手多脚了,大胆把好的东西分享给大家。longas大哥瞄到的话,千万不要打俺PP......6 r. ^1 B' x8 {" l4 C( J7 K
- e" ~+ \3 X$ e2 \1 h前言:去年受电子工业出版社编辑毕宁邀请,在北京参加电子工业出版主办的2009中国软件安全峰会做手机设备安全演讲时,提到了这个09年发现的文件目录遍历漏洞,英文中称之为为Directory Traversal vulnerability,很有意思,主要针对HTC高端手机设备,无论行货还是水货。鉴于最近看到周围有很多朋友都在用HTC、多普达的智能手机,觉得还是发个文提示一下比较好。
6 u5 y/ @( T% T0 S' ^( [! E$ y1.漏洞介绍, L {/ [5 y' {7 @6 ^" ]
! e6 J, o% _/ I5 c1.1 受影响的无线网络设备
* U! b# s: Z. i' c7 e
/ w" Z. {2 D# b: e: i3 C% F9 B9 R运行Windows Mobile 5.0、5.1、6.0的HTC设备。具体有Touch Diamond/ Diamond (P3702)/ Touch Pro/ Touch HD/ Touch 3G/ Touch Cruise/ Touch Viva/ Touch Dual/ Touch Cruise (09)/ Touch等型号。如下图1所示为HTC Sprint智能手机。不过正如大家所想,作为HTC在国内的品牌“多普达”智能手机,绝大部分型号同样存在此安全漏洞。如下图2所示为多普达S1精英版智能手机。
" F- k; \ B$ W H; J7 D& d+ v* `9 O
9 T7 O* ~% Q6 X: c g; N
1.2 关于OBEXFTP服务$ h: _! z3 Q. D8 u- B7 V
: [* Q; _( j+ M) ~) N8 R. B
当前大多数Windows Mobile手机都会内置一个蓝牙协议栈,以便与其它远程设备进行蓝牙通信。在协议栈可能实现的所有蓝牙服务中,由文件传输配置文件(File Transfer Profile, OBEX FTP)定义的服务是最常见的一种。
' \( u& M5 R' ?: P) [ N$ W }9 [$ v/ b4 |5 |; J
OBEX FTP服务通过蓝牙无线通信协议实现了文件共享。它不光可以用来将文件从手机传送至其他远程设备处,还能够允许远程设备浏览手机的共享文件夹,并可进行文件下载。
6 ]/ B u4 @- U- _% ]
, F( l. h. q* F" ^) \* x通常,OBEXFTP服务是这么配置的:指定某一个文件夹进行共享,而用户就可以将在此存放欲共享的文件。默认的文件夹是:My Device\My Documents\Bluetooth Share(在英语版本中)或者是My Device\My Documents\蓝牙共享(在中文版本中)。虽然也可以选用其他文件目录,但不能指定位于My Device\My Documents\ or Memory Card\My Documents\路径之外的其他文件目录。这是考虑到安全因素,因为这样一来用户就无法通过蓝牙通信将敏感文件暴露出去。如下图3所示为在HTC Sprint 6850智能手机上启动蓝牙文件共享。; S, l3 z# V/ C- T& F* O1 Q
B8 N5 Q( g' S1.3 漏洞描述# o# S* u3 T. G+ J
$ ` h+ [! u% h8 q
在运行Windows Mobile 6和Windows Mobile 6.1的HTC设备中,其实现的蓝牙协议栈的OBEX FTP服务,存在一个文件目录遍历漏洞(Directory Traversal vulnerability)。OBEX FTP服务器位于\Windows\obexfile.dll。微软发表的声明表示这是一个由HTC开发的第三方驱动程序,它安装在运行Windows Mobile的HTC设备上,因此此漏洞只会对此一家制造商的产品有特定影响。8 k; F: { c# }0 i- F
8 y1 m' \% f/ b4 W
那么,某个得到验证的远程攻击者就可以利用这一点列出任意文件目录,并借由在路径名中加入的../进而对任意文件进行读写操作。而通过对启动(Startup)文件夹进行写操作,这又可以转化为可运行代码的执行。如下图4所示,在HTC Sprint 6850智能手机的蓝牙服务列表中可以看到,在默认情况下是开启FTP文件传输服务的。. c [* @4 _! ~5 z4 f. f
& I% }% ~. V0 u' W& k' k2.漏洞利用与实现" S( F8 q% V6 M/ n1 c; c% y, [$ _/ u/ t
6 ~- f- h& x0 Q% I
下面就以国内目前市场使用率较高的多普达S700这款智能手机为例,测试该漏洞的具体攻击及利用方法。如下图5所示,开启蓝牙功能及蓝牙共享目录后,即可开始漏洞的利用与实现测试。具体步骤如下。 j* u! ]2 r& d( x2 R% m- V
/ R. o. R5 v' b, x步骤1:扫描开启蓝牙功能的移动设备。7 w: y0 W3 e& |& `2 N
& l2 a' }6 ^2 }. R W' U X7 V
和本章之前小节介绍的方式一样,攻击者会先使用hciconfig命令激活蓝牙适配器,然后在使用hcitool scan命令扫描周边开启蓝牙的设备。
* t3 { `0 m, B/ i& J' Z3 L: q1 M2 `( c2 t, R
如下图6所示,扫描到一个名为“S700”的移动设备,接下来,攻击者可以使用简单的l2ping来测试一下连通性。在下图6中可以看到连通性还不错。
, b( S+ N0 P4 l; M0 V8 e- y/ v# k2 G6 s
步骤2:与该蓝牙设备建立合法连接。
! D9 U2 M! s) p( \* ]$ B; |" c. s
' k* I$ {0 Y# z: E4 R8 u! |( C注意本漏洞的实现前提是攻击者已经与目标设备建立了合法连接。所谓合法连接指的就是通过输入正确的PIN码,在两台设备之间建立蓝牙网络连接。如下图7所示,在Ubuntu下成功地与名为“S700”的智能手机建立蓝牙连接,具体建立过程步骤可以参考《无线网络攻防进阶》一书,这里就不再详述。
9 X3 g$ ?. s& p( d2 g
# v% U, S4 B& [0 ^可能有的朋友对于攻击者与智能手机之间建立的合法连接比较疑惑,会觉得正常情况下,用户怎么可能会让攻击者和用户的手机建立蓝牙连接呢?其实这里有这样一些可能,首先,本文所说的“攻击者”并不一定是常说的带有明显恶意企图的陌生的人,也可能是用户的一个普通朋友,偶然提出要给彼此分享一下图片,而且用户自己也同意了,这样就建立了一个合法的蓝牙连接。类似的,有个刚认识的朋友借手机打个电话,打完后随手打开蓝牙功能的情况也不是不可能。所以说,很多时候,创造“攻击条件”的人恰恰就是用户自己。
. m. j% H8 l- C# F) B7 K3 g" _2 y b9 ?. i* I a' Z
此时,在状态栏的蓝牙菜单上,点击打开属性页面,如下图8所示,可以看到已经与名为“S700”的蓝牙设备建立了合法连接。该设备显示为Phone,即智能手机。
0 ] V; q' h) T0 _% R" }8 N* r: w2 e' y, m
此时,在正常情况下,连接方只能看到当前蓝牙共享目录下的内容。在Linux或者Ubuntu下打开一个Shell,使用obexftp命令与智能手机的FTP服务建立连接,具体命令如下:1 L, \# ?3 b& F' K/ x
' Z/ i& O7 N. `, E* v2 z% \- T" aobexftp -b 已连接蓝牙设备MAC -l: M" V) |; E% s- X
1 h- L% y. n3 z$ R% N
参数解释: y0 E* Z( N! W1 v' O- J Y
2 g. E* Z+ E9 T% d* D$ t* S
-b 后跟试图连接的蓝牙设备MAC。这里的蓝牙设备MAC就是前面图中通过扫描获得的地址,也就是这款名为S700的多普达智能手机。
! H% j& s2 N- C; ^ -l 即list的意思,列出当前目录下的所有文件。
) Y1 M4 [! v$ ]% F: G0 M4 N5 j. Q0 x- v) Z- a
回车后可以看到如下图9所示,由于当前目录下没有任何文件,所以显示为空。1 W2 j9 y$ B/ {
O! b9 R2 Y6 u0 }" ^1 r步骤3:开始目录遍历攻击。, q0 W% }! M4 v4 G6 ~" @
+ `, T8 y3 u' f2 J) m6 g: g% B接下来,作为攻击者肯定并不满足于当前目录下,就会开始尝试访问上一级目录或者根目录。此时,攻击者可以通过输入“../../”来访问根目录,具体命令如下:
; y/ } O7 P" x! ^/ v1 {4 |; h: [. Y; D# M
. R5 c1 k8 e1 O+ e! W# Iobexftp -b 已连接蓝牙设备MAC -l “../../”
3 G4 D( l0 U2 @6 z5 J( Y5 s
9 \ I, A$ g2 K3 d, b+ ?) \/ T" ^参数解释:2 J9 w0 G- w. S/ j# x+ ?
- o4 r0 ~8 C8 F. k
-l 后面跟上预访问的路径,这里就是根目录。注意路径要用英文双引号隔开。3 Y2 P- a1 J: p* L y8 m( d3 c
2 h9 O+ w+ c. n/ ?/ r
回车后稍等数秒就可看到如下图10所示内容,在Shell下成功列出了当前根目录下的所有目录和文件名称。比如可以看到在“folder name=”后面出现的名为“Windows”、“My Documents”、“存储卡”等文件夹。6 M# j: \+ v5 j1 b, n- \
W ~7 I) v( V& x0 J+ B& s对于攻击者来说,一般都会试图访问“存储卡”这样的目录,因为这样的目录意味着更多的私人信息。参考上图10所示的文件列表,我们来看看能否访问存储卡上的内容,具体命令如下:
9 E# z2 L2 B, ^! |! c V4 G
% l& `& p6 Y. {. A; nobexftp -b 已连接蓝牙设备MAC -l “../../存储卡”
% Q6 ]- R8 I* j5 U" W4 |( B) e, `- s6 U( b& ^ Z- r% P
注意此时的路径格式已经变为了存储卡下,在回车后,攻击者就能够列举出存储卡下的所有内容。如下图11所示,能看到诸如pdf等多种类型的文件。甚至还有些私人的记录文件,哦,还有电费交付记录。
# H+ t6 J* P K9 p$ W7 S7 R
( e+ ` O# }/ N* U( s. i3 V) w若攻击者希望将目标手机中的某一个文件下载到本地,就可以使用obexftp的get参数来从目标设备上获取,比如私人的照片、图片等。5 r0 h G7 _4 ^, w
obexftp -b 已连接蓝牙设备MAC -g “../../路径名/文件名”
/ E% B. A/ A7 v
N% |5 S5 m# q9 O参数解释:' `7 n9 w7 j7 V
( T5 ~$ O. t% q% P+ ^/ w9 o+ \
-g 后面跟上预下载文件的相对路径,这里就是“../../My Document/我的图片/春天.jpg”" I) i/ |! S1 b% H1 m. F
3 C8 [- Z. e# g/ Y如下图12所示,经过数秒的等待后,出现done的提示,显示下载完毕,同时断开ftp查询。此时,在当前Shell下输入ls命令查看,就能够看到那个名为“春天.jpg”的图片文件已经下载到本地。
- V0 t1 P. U, u/ [ v' L: b1 ^& n) `; E1 D! [ |- q
使用图形工具打开“春天.jpg”文件,就能看到如下图13所示的花朵画面。这只是测试用的图片,而在实际攻击中,攻击者将会尝试将很多保存在手机及存储卡上的照片、图片下载回本地,甚至还包括一些个人的文本记录等资料。
- J+ P" @9 S, o2 k+ _# }, H. c
正如下图14所示的内容,攻击者成功地将名为“2009*.sms”文件下载到本地。该文件包含了一些私人的信息,攻击者完全可以通过后期的分析来获取其中的内容,或者直接可以通过修改、转发的方式用于欺骗他人。
; `; C3 z+ B3 B: ~( T3 J8 t
3 |; r$ l5 i% N! T; k再比如下图中所示的一般,攻击者使用数据分析类的工具,在读取下载回本地的sms文件时,可以清楚地看到该sms发送对象的手机号码等信息。在下图15右侧,就可以清楚地识别出+861580290XXXX这样的手机号码字样(为了安全起见,我已将该号码做了处理)。 - q- k2 \% ?9 P) F
0 s+ W+ h$ H: U+ T! l9 ~# C
到这里,关于OBEXFTP目录遍历漏洞的典型利用就成功完成了。当然真正的攻击者可能并不会简单地做到这里就算完成,还会尝试获取更多的资料和信息。想象一下,对于那些喜欢使用手机自带摄像头自拍艺术照或者个人生活照的男男女女们,你们的隐私又是如何泄露出去的呢?是不是也将面临着成为XX门主角的威胁呢?
4 }7 V6 u9 {9 P+ Q' f) x而这一切的缘由,就是因为HTC设备默认蓝牙服务中存在漏洞导致的。正因为该漏洞使得原本不可见且不可访问的目录变得清晰可见,所以才导致攻击者的长驱直入。& P( _6 A/ ?* ], O4 ]& @
- u7 d9 K/ D9 Z0 r% h* s8 B5 z3.防范方法
1 d8 U8 @* J6 h% Y' [' n
. p0 P& U7 |) X( K! i, s- G2 M看到目录遍历漏洞这么可怕,相信很多会立即本能地打开自己的手机,迅速关闭蓝牙功能以求多福。其实也没有那么夸张,毕竟,该漏洞的利用存在一定条件,并不是简单就可用的,所以危害性并不属于高危漏洞。有这么几点建议,能够帮助用户有效地避免遭受此类攻击的威胁。
) u9 u- ?9 k5 n8 C9 Q/ C
: T6 }9 F9 c# e- i" \1 r3.1 关闭蓝牙功能9 ]! h9 n6 X" _% V' e- e
% } C, i4 H$ V: _5 c
最简单、有效的方法,不过只适合平时不使用蓝牙功能的用户。" F) }/ |# Z9 T+ [' n" G
* M& k" Z- H6 [' w$ C: L3.2 关闭蓝牙共享
, t' | A- D; J2 R# j3 q+ D' W: F
( C% V1 N b4 m* r4 O% w0 a个别用户使用蓝牙的目的可能仅仅是因为需要使用蓝牙耳机,但并不需要通过蓝牙传送什么文件,比如一些经常开车的朋友。也有些商务人士经常使用蓝牙耳机,所以需要蓝牙功能一直开启。这样的话,应当将蓝牙共享关闭,禁止任何共享目录存在。
' A3 f! g4 b- l
- F& K* L2 D9 _2 j9 E/ X' W& T) ^3.3 升级手机操作系统
% S# X% M; [( i* I
' d% E6 S' A; Y; C+ T& K若既需要蓝牙功能,又需要不时使用蓝牙传送文件,比如一些年轻的时尚人士,喜欢在和朋友聚会时通过蓝牙分享彼此手机的桌面、音乐、铃声以及图片等。那么,最好的办法就是升级手机的操作系统,经过检查,将HTC设备默认的Windows Mobile 6.1版系统升级为6.5版本系统可以有效地杜绝此漏洞。对于新的6.5版本的Windows Mobile系统来说,将不存在OBEXFTP目录遍历漏洞。也就是说,即使攻击者与蓝牙建立了合法连接,也只能被局限在蓝牙共享目录下,无法再通过遍历方式访问到向上的目录,更不可能下载私人信息。. k7 a5 {% r6 a4 |
如下图16所示,对于升级后的HTC机型,在试图遍历时会出现failed即失败的提示。' ?9 X% q7 \8 O' G" I; N g0 Z6 V
) y" W' } _7 Y
关于从蓝牙角度进行的手机攻击技术还有很多,具体都会在近期上架的《无线网络安全攻防进阶》一书中得以体现,这本书是《无线网络安全攻防实战》的续作,全新内容,敬请期待。感谢朋友们一如以往的支持,欢迎大家与我联系:longaslast@126.com或者到我的博客http://bigpack.blogbus.com做客。最后,对正使用蓝牙功能的朋友们提个小小的忠告:其实不是有些技术不安全,而是我们自己没关好门。至于这些小地方会造成多大的危害,请记住这个谚语:
9 B+ m" p7 T" q$ E% B# A6 A
/ S# g2 b l' n+ n$ ]如果你没有保护措施,那么你在阴天也很容易被烧伤。 |
本帖子中包含更多资源
您需要 登录 才可以下载或查看,没有账号?注册
x
|
IP卡
狗仔卡
发表于 2010-6-23 20:16
