一次針對SAP系統的完美滲透測試

什麼是SAP 滲透測試？

SAP為「System Applications and Products」的簡稱，是SAP公司的產品——企業管理解決方案的軟體名稱。SAP公司成立於1972年.總部位於德國沃爾多夫市，在全球擁有6萬多名員工，遍布全球130個國家，並擁有覆蓋全球11,500家企業的合作夥伴網路。作為全球領先的企業管理軟體解決方案提供商，SAP幫助各行業不同規模的企業實現卓越運營。

那麼為什麼我們需要去了解SAP系統的安全性？第一個想法很簡單——SAP系統對於黑客們而言是一個誘人的目標，因為它往往存儲和管理著一個組織的關鍵信息和業務流程的命脈。但是，這不是唯一的原因。想像一下，某個SAP模塊負責工業技術，例如控制石油開採或運輸的SAP模塊，我想它的重要作用就無需多說了吧，而其安全也就顯得更為重要。那麼如何才能確保SAP系統不會輕易受到傷害，攻擊者無法干預其系統的任何流程呢？對SAP系統進行滲透測試當然完全符合這一目標。

典型的黑盒SAP滲透測試如下所示：

1.滲透測試人員掃描SAP系統的範圍，試圖獲得儘可能多的系統信息。

2.根據從第一步獲得的信息，pentesters會了解到哪些資料庫使用了SAP的版本或者特定的SAP模塊。然後，他們開始搜索這些版本容易受到的漏洞。通過利用這些漏洞，獲得對系統的最小訪問許可權（例如作為訪客用戶）。

3.進而通過利用漏洞，升級許可權並獲得系統的管理訪問許可權。

SAP軟體在某種程度上是獨一無二的，在進行SAP滲透測試時應考慮其特殊性質。例如，默認情況下，管理員密碼，資料庫的密碼以及將SAP伺服器連接到資料庫的方案將被加密並存儲在SecStore.properties文件中，解密密鑰保存在SecStore.key文件中。因此，在系統配置不佳的情況下，利用像Directory Traversal或XXE這樣的漏洞就足以從伺服器讀取文件。

由於供應商現在專註於其產品的安全性，實施了新的保護機制，SAP系統的妥協變得越來越困難。同樣，SAP也組建了自己的安全團隊。因此，現在已經不可能通過利用單一的漏洞來破壞整個SAP系統了。對於滲透測試人員來說，必須要利用一連串的安全問題來實現最終的結果。

SAP 滲透與SAP安全審計區別

評估SAP系統安全性的另一個選擇是SAP安全審計。

如果在安裝了系統之後的一段時間裡黑客沒有入侵（例如2周），這並不意味著系統是安全的，或者說黑客是無法入侵的。這只是意味著如果攻擊者需要更多的時間，他們就可能會成功。

安全審計則就是一組專家獲得了對系統，源代碼和內部網路的完全訪問，以便他們能夠更有效地分析其安全性，並且可能會發現比黑盒或白盒的更多的漏洞 。

在上面的文章中，我們討論了安全審計和滲透測試之間的差異。現在，我們來看看一個典型的案例。

這是一次完美的黑盒測試，通過利用3個漏洞可以讓攻擊者劫持一個SAP管理員帳戶。主要涉及以下步驟：

信息收集

漏洞利用

特權升級

商業風險示範

信息收集

信息收集是每次滲透測試的第一步。我們可以收集有關係統的一些信息，例如，通過掃描特定SAP服務的網路或可用Web應用程序的Web伺服器，以了解是否存在任何具有漏洞的應用程序或服務。

此步驟還包括利用一種稱為「信息披露」的特定漏洞類型。通常，這些低風險漏洞非常普遍，因為管理員必須應對更多的關鍵問題，但卻沒有太多的資源，因此經常會被忽略。但是，在這種漏洞的幫助下，攻擊者可能會收到操作系統，SAP版本，私有IP到用戶列表及其密碼的信息。

儘管典型的SAP安裝過程中充滿了信息泄露漏洞，但在我們的最後階段，如果系統配置的很安全，那我們就必須搜索一些0day。

最終我們發現了多個信息泄露漏洞。例如，使用漏洞ERPSCAN-16-010和ERPSCAN-16-016，攻擊者可以遠程獲取SAP用戶的名字，姓氏，許可權和登錄名，而不進行身份驗證。

漏洞利用的一個例子可以在下面的截圖中看到。

利用此漏洞很容易，攻擊者只需要匿名打開可用的webdynpro應用程序統一資源標識符（URI），然後按「選擇」按鈕。但攻擊者無法僅使用用戶名登錄到SAP系統; 還需要SAP帳戶的密碼。這就到了我們滲透測試計劃的第二步 - 漏洞利用。

漏洞利用

這一步很簡單。在了解哪些服務和Web應用程序可用之後，我們可以找到這些服務是否存在漏洞並利用它們。

如果我們談論的是SAP NetWeaver J2EE應用程序伺服器，那麼可以確定幾個漏洞（從CTC Web服務中的Verb篡改漏洞以及Invoker servlet到P4身份驗證繞過，K2EE Web服務中的多個XXE和SSRF問題）。所有這些都存在於幾乎每一個SAP實施中，但是一些客戶真的在關心SAP Security，並且為黑客消除了所謂的「低處的水果」。而到了這裡就是一個要點，可以將厲害的滲透測試人員與腳本小子或漏洞掃描器使用者區分開來。即使沒有明顯的方法，一個真正的滲透測試人員也會試圖找到一個新的漏洞。在這樣做時，他會首先考慮需要什麼。事實上，滲透測試人員已經有了一些有關係統的信息 - 用戶名。因此，獲得至少一個密碼哈希就可以保證勝利。而某些漏洞可能會導致其允許訪問它們，比如SQL注入。

SQL注入是傳統應用程序中出現的常見問題，但在SAP中很少見（見下表）。這種類型允許攻擊者注入自己的惡意SQL命令。它使請求合法化，為訪問資料庫中的關鍵數據（例如業務數據，用戶密碼和銀行帳戶信息）鋪平了道路。使用SQL注入攻擊者嘗試獲取信用卡日期，用戶密碼，社交卡信息等。

下面是一個不同漏洞排行的比較

最後，我們發現了SAP NetWeaver中的匿名SQL注入漏洞（後來得到了一個標識符ERPSCAN-16-011）。該漏洞在SAP UDDI中，該組件中是最廣泛的組件，它會影響SAP NetWeaver 7.11 - 7.50版本。為了進行攻擊，攻擊者需要發送以下類型的HTTP查詢：

POST /UDDISecurityService/UDDISecurityImplBean HTTP/1.1Content-Type: text/xml

x AND 1=(SELECT COUNT(*) FROM BC_UDV3_EL8EM_KEY) or 1 = 1

該漏洞在permissionId中顯示，可以包含任何SQL命令。當SAP獲取此代碼時，它將被執行。例如，SAP伺服器將執行此SQL命令並從BC_UDV3_EL8EM_KEY表返回一行數。

SELECT COUNT(*) FROM BC_UDV3_EL8EM_KEY

使用此漏洞，攻擊者可以從UME_STRINGS表中獲取用戶密碼的哈希值。之後，他們需要從哈希中獲取密碼。它可以通過兩種方式完成：

使用暴力破解

查找密碼加密演算法中的另一個漏洞

升級許可權

業務風險演示之前的最後攻擊步驟是許可權升級。

在經過上面的步驟之後，我們可以訪問系統了，但這種訪問僅限於某些操作。因此我們需要使用一連串的漏洞來升級許可權。在這個例子中，我們有用戶名和密碼哈希。不過，我們沒有密碼。在經過一段時間之後，我們非常接近這個目標了，並在SAP NetWeaver（ERPSCAN-16-003）中發現了密碼加密功能的漏洞。

當在SAP系統中創建具有密碼的任何用戶時，密碼將通過加密進行保護。即使用PasswordHash.class來實現存儲HashWithIterations的功能。

SAP SE在實現加密演算法時犯了一個錯誤，結果密碼作為base64被存儲在資料庫中，不是加密演算法的，而是編碼演算法。

業務風險演示

現在我們可以訪問系統了，即使一開始我們認為這是不可能的，因為所有已知的漏洞都被修補。通常，傳統的滲透測試在這裡就結束了，但是對於一個完美的結果來說，僅僅顯示訪問是不夠的，展示業務風險其實才是至關重要。

我們在SAP系統上獲得了管理員帳戶，例如干擾生產過程。這些使用SAP產品的公司可以使用SAP MII模塊來管理技術過程。SAP MII（SAP製造集成和智能）是一個SAP應用程序，用於將製造操作與後台業務流程同步並標準化數據。

在SAP MII和技術控制器之間有SAP PCo。當SAP PCo從SAP MII收到所有控制數據時，它會更改數據並將其發送到控制器。當我們擁有SAP NetWeaver管理員用戶時，我們可以訪問SAP MII並管理負責石油生產的控制器。

我們的研究團隊確定了SAP xMII中的幾個漏洞。這些可以用作多級攻擊的一部分，從暴露於互聯網的眾多業務應用程序之一開始，最終目的是控制車間。工業控制系統的設計沒有基本的安全措施：一旦犯罪者控制了系統，他們就可以無阻礙地訪問所有的控制器及其配置。這裡的後果主要依賴於攻擊者的目標，技能和想像力的限制。例如，攻擊者可以改變熔化溫度，使產品更脆弱。另一個攻擊矢量是對焊縫的指示的輕微修改。如果在汽車生產或高科技設備製造過程中執行這兩項行動，可能會導致嚴重的後果。

點擊展開全文

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！