本環(huán)境是蛇矛實(shí)驗(yàn)室基于"火天網(wǎng)演攻防演訓(xùn)靶場(chǎng)"進(jìn)行搭建，通過火天網(wǎng)演中的環(huán)境構(gòu)建模塊，可以靈活的對(duì)目標(biāo)網(wǎng)絡(luò)進(jìn)行設(shè)計(jì)和配置，并且可以快速進(jìn)行場(chǎng)景搭建和復(fù)現(xiàn)驗(yàn)證工作。

背景

Fortinet FortiOS是美國(guó)飛塔（Fortinet）公司的一套專用于FortiGate網(wǎng)絡(luò)安全平臺(tái)上的安全操作系統(tǒng)。該系統(tǒng)為用戶提供防火墻、防病毒、IPSec/SSLVPN、Web內(nèi)容過濾和反垃圾郵件等多種安全功能。10月10日，F(xiàn)ortinet官方發(fā)布安全公告，修復(fù)了其多個(gè)產(chǎn)品中的一個(gè)身份驗(yàn)證繞過漏洞（CVE-2022-40684），其CVSSv3評(píng)分為9.8。攻擊者可以通過向易受攻擊的目標(biāo)發(fā)送特制的 HTTP 或 HTTPS 請(qǐng)求，有權(quán)訪問管理界面的遠(yuǎn)程攻擊者可以執(zhí)行管理員操作。

漏洞分析

CVE信息中說明了該漏洞為身份認(rèn)證繞過漏洞，并且可以RCE。在開始分析前，我們需要先搭建漏洞環(huán)境。由于該漏洞影響范圍如下，這里我使用防火墻的版本為forigate-vm64 7.2.1，內(nèi)部 Fotios 版本與防火墻版本一致。

FortiOS版本 7.2.0-7.2.1
FortiOS版本 7.0.0-7.0.6
FortiProxy版本 7.2.0
FortiProxy版本 7.0.0-7.0.6
FortiSwitchManager版本 7.2.0
FortiSwitchManager版本 7.0.0

下面開始配置Fortigate防火墻，使其能夠與我們的攻擊機(jī)網(wǎng)絡(luò)互通。

注意：Fortigate-VM-7.2.0以后使用新的證書方式，需要有fortinet賬號(hào)獲得永久試用，這里需要fortigate聯(lián)網(wǎng)。

使用瀏覽器訪問ip后，使用admin:password進(jìn)行登錄，登錄后界面如下所示。至此，fortigate環(huán)境已配置完畢，接下來我們進(jìn)行分析。

libguestfs 是一組 Linux 下的 C 語言的 API ，用來訪問虛擬機(jī)的磁盤映像文件，幾乎可訪問任意類型的文件系統(tǒng)。debian系安裝命令為"sudo apt install libguestfs-tools"，安裝完成后會(huì)有很多"virt-開頭的命令。

將fortios.vmdk從下載好的fortigate壓縮包中解壓出來，使用"sudo virt-filesystems -a fortios.vmdk"也是查看磁盤的分區(qū)情況。然后使用"sudo guestmount -a fortios.vmdk -m /dev/sda1 --ro mount_dir_name"進(jìn)行掛載。

mount成功后，rootfs.gz為文件系統(tǒng)壓縮包，我們將其復(fù)制出來。

rootfs.gz解壓后為rootfs，使用"cpio -i 2> /dev/null < rootfs"命令進(jìn)行提取。提取后發(fā)現(xiàn)大量文件系統(tǒng)的目錄和.tar.xz文件，.tat.xz文件使用xz解壓時(shí)會(huì)失敗，我們可以使用文件系統(tǒng)中自帶的(sbin/xz)程序進(jìn)行解壓，這里只需注意它的鏈接器路徑(將其修改至主機(jī)系統(tǒng)的鏈接器路徑)，我們patch后并保存。

xz解壓后提取出各個(gè)文件系統(tǒng)目錄，進(jìn)入到bin目錄后尋找httpsd程序。httpsd是init程序的軟連接，并且這里可以看出init程序非常大，逆向該程序比較費(fèi)時(shí)。所以我們可以根據(jù)調(diào)試信息先來逆向程序邏輯。

運(yùn)行以下命令開啟httpsd程序的調(diào)試信息，當(dāng)開啟調(diào)試信息后，當(dāng)我們對(duì)fotigate的web服務(wù)進(jìn)行操作時(shí)，該操作的信息就會(huì)打印到屏幕上。

diagnosedebugenable
diagnose debugapplication httpsd -1
diagnose debugcli 8

調(diào)試開啟后，下面以登錄授權(quán)訪問api為例，簡(jiǎn)單分析一下流程，當(dāng)我們?cè)跒g覽器輸入admin:password點(diǎn)擊登錄后訪問api打印的調(diào)試信息如下

我們根據(jù)調(diào)試信息打印的字符在程序中進(jìn)行搜索，根據(jù)字符串引用進(jìn)行定位，發(fā)現(xiàn)程序執(zhí)行了fweb_debug_init函數(shù)

大致瀏覽一遍后發(fā)現(xiàn)后發(fā)現(xiàn)程序使用了Apache Portable Runtime庫(kù)，我們可以根據(jù)函數(shù)庫(kù)對(duì)函數(shù)的使用進(jìn)行查詢。這里的apr_table_get函數(shù)為從表單中取出key值對(duì)應(yīng)的value。

對(duì)fweb_debug_init函數(shù)進(jìn)行交叉引用，發(fā)現(xiàn)sub_C4BF20調(diào)用了fweb_debug_init函數(shù)，這個(gè)函數(shù)與上面中的調(diào)試信息并無聯(lián)系，我們繼續(xù)往上跟。

sub_C4C480調(diào)用了sub_C4BF20函數(shù)，并且后面的fweb_debug_final函數(shù)與上面圖中最后登錄成功后的最后產(chǎn)生的調(diào)試信息相同。那么fweb_debug_init與fweb_debug_final之間的倆個(gè)函數(shù)v3[1]函數(shù)和sub_C4C2A0產(chǎn)生了大量調(diào)試信息。我們跟進(jìn)分析一下v3[1]函數(shù)

v3由參數(shù)a2賦值，a2為sub_C4C480函數(shù)的參數(shù)，

a2參數(shù)為off_3FEA400函數(shù)數(shù)組的地址

off_3FEA400函數(shù)數(shù)組為傳入sub_C4C480函數(shù)的參數(shù)，當(dāng)函數(shù)執(zhí)行完fweb_debug_init后，通過參數(shù)加索引的方式調(diào)用相應(yīng)hanler函數(shù)，這里v3[1]執(zhí)行sub_c929F0函數(shù)

sub_c929F0函數(shù)中調(diào)用了api_check_access函數(shù)，并且程序會(huì)根據(jù)api_check_access返回值返回用戶對(duì)應(yīng)響應(yīng)碼的reponse。我們進(jìn)入api_check_access函數(shù)中進(jìn)行查看

api_check_access函數(shù)的返回值由幾個(gè)子函數(shù)共同決定，當(dāng)我們根據(jù)調(diào)試信息追函數(shù)流程時(shí)，發(fā)現(xiàn)在api_check_access中并沒有輸出任何調(diào)試信息，而是在sub_c929F0函數(shù)中調(diào)用了handle_cli_request輸出了調(diào)試信息。同時(shí)handle_cli_request函數(shù)輸出完vdom "root"后，該handler函數(shù)執(zhí)行完畢并返回執(zhí)行fweb_debug_final函數(shù)，隨后結(jié)束該次event響應(yīng)。

上面我們大概知道了訪問api時(shí)程序執(zhí)行大概流程，但是具體細(xì)節(jié)和身份驗(yàn)證的流程我們還是不知道。下面我們直接用已公開的poc進(jìn)行測(cè)試，并關(guān)注其調(diào)試信息以方便逆向。

此時(shí)調(diào)試如下，我們發(fā)現(xiàn)和上面已授權(quán)登錄相比，多了倆條調(diào)試信息，分別是fweb_authorize_all和api_access_check_for_trusted_access，下面我們跟進(jìn)去分析一下。

當(dāng)我們跟進(jìn)去時(shí)發(fā)現(xiàn)sub_C4AC70函數(shù)先調(diào)用了sub_C4B590函數(shù)，然后ap_hook_handler hook前面我們分析的sub_C4AC60函數(shù)。sub_C4B590也同樣是ap_hook_check_access_ex hook的fweb_authorize_all函數(shù)。那么到此所有的流程我們已經(jīng)知道了，接下來我們分析一下漏洞是如何形成的。

在認(rèn)證過程中，函數(shù)首先調(diào)用fweb_authorize_all判斷v2+64是否等于"127.0.0.1"，即判斷是否本機(jī)訪問，如果本機(jī)訪問則sub_C50E80函數(shù)內(nèi)部繼續(xù)判斷接口如果是否為vsys_fgfm接口。隨后取Forwarded頭的value值，strstr函數(shù)查找"for="的位置，隨后執(zhí)行if結(jié)構(gòu)體內(nèi)容，再次判斷Forwarded_header_content_tmp中是否存在"by"字符，如果判斷不通過并不會(huì)進(jìn)入到api_check_access函數(shù)中。

api_access_check_for_trusted_access函數(shù)中調(diào)用sub_C510D0，傳入?yún)?shù)為"Node.js"

sub_C510D0函數(shù)中判斷表單中User-Agent的value值是否與Node.js是否相同

如果不是"Node.js"，則判斷User-Agent的value值是否與Report Runner是否相同

進(jìn)入到過以上倆種方式中的某一種，用戶賦值為"Local_Process_Access"，此時(shí)會(huì)繞過身份認(rèn)證。也就是說要想攻擊成功，需要設(shè)置Forwarded頭value值必須為"for="，后面可以設(shè)置127.0.0.1來隱藏防火墻中的攻擊記錄，而User-Agent的value可以設(shè)置"Node.js"和"Report Runner"倆種中的一個(gè)。

以上倆種繞過測(cè)試只在Fortigate-VM-7.2.1(Fortigate-VM-7.2.0由于沒有鏡像所以沒有測(cè))有效，當(dāng)fortigate-vm版本在7.0.0-7.0.5中User-Agent需要為Node.js(7.0.6沒測(cè))。

漏洞復(fù)現(xiàn)

未攻擊前，使用ssh連接fortigate的admin用戶需要密碼登錄。

使用kali生成ssh-pulibc-key，然后利用漏洞繞過身份認(rèn)證，并使用PUT方法設(shè)置fortigate的ssh-public-key1(實(shí)現(xiàn)這種攻擊方式需設(shè)置User-Agent頭為"Report Runner")，點(diǎn)擊send進(jìn)行攻擊(或使用github已公開的exp腳本進(jìn)行攻擊)。

出現(xiàn)"SSH key is good."后，說明攻擊成功，此時(shí)使用ssh連接fortigate防火墻則需不要輸入密碼。獲取fortigate終端后，可執(zhí)行任意命令。

總結(jié)

我們這一小節(jié)簡(jiǎn)單了解了身份認(rèn)證繞過流程，分析并復(fù)現(xiàn)了fortigate防火墻身份認(rèn)證繞過漏洞的形成過程以及如何利用。

蛇矛實(shí)驗(yàn)室成立于2020年，致力于安全研究、攻防解決方案、靶場(chǎng)對(duì)標(biāo)場(chǎng)景仿真復(fù)現(xiàn)及技戰(zhàn)法設(shè)計(jì)與輸出等相關(guān)方向。團(tuán)隊(duì)核心成員均由從事安全行業(yè)10余年經(jīng)驗(yàn)的安全專家組成，團(tuán)隊(duì)目前成員涉及紅藍(lán)對(duì)抗、滲透測(cè)試、逆向破解、病毒分析、工控安全以及免殺等相關(guān)領(lǐng)域。