SSL&TLS渗透测试（定本指南）

本文说明了使用半自动化工具开展SSL&TLS安全评估的流程以及如何通过手动测试方法来验证工具结果。本文的目的是优化TLS&SSL安全测试流程，帮助咨询师在开展渗透测试时在TLS/SSL上面花更少的时间。

什么是TLS&SSL？

安全套接字层（SSL）和传输层安全（TLS）加密通过提供通信安全（传输加密）和为应用程序如网络、邮件、即时消息和某些虚拟私有网络（VPN）提供隐私的方式来确保互联网和网络的安全。

因此，TLS安全配置具有重要作用，相关人员应该把精力投入到学习和识别常见漏洞和安全错误配置中。

TLS/SSL安全测试工具

testssl.sh

testssl.sh是我们测试的首选工具，它包含对TLS&SSL评估要求的所有测试而且会定期更新。

安装

可通过执行库的克隆版本来安装最新版本的testssl.sh。

git clone

testssl.sh示例

通过testssl.sh使用的测试选项有很多，而且你应该使用的选项会严重依赖于你的测试要求。以下提供了一些可概览testssl.sh命令行options.run./testssl.sh的示例。

在单主机上测试并以控制台格式输出

./testssl.sh -e -E -f -p -y -Y -S -P -c -H-U TARGET-HOST

在单主机上测试并以HTML格式输出

./testssl.sh -e -E -f -p -y -Y -S -P -c -H-U TARGET-HOST | aha > OUTPUT-FILE.htm

在子网上测试所有主机并以HTML格式输出

./testssl.sh -e -E -f -p -y -Y -S -P -c -H-U 192.168.1.0/24 | aha > OUTPUT-FILE.html 

同上，不过仅枚举每个服务器支持的密码：

./testssl.sh -E 192.168.1.0/24 | aha >OUTPUT-FILE.html 

控制台输出的截屏

HTML输出截屏

TLS&SSL漏洞测试

常见的TLS&SSL漏洞如下按CVE日期排序的列表，每个漏洞都提供了相应定义，附带自动化和手动（可能实现的情况下）测试指令。

SWEET32(CVE-2016-2183)

定义

使用64位块大小如3DES的传统分组密码当以CBC（密码分组链接）模式使用时易遭受碰撞攻击。当使用CBC模式时，简单的生日攻击就能识别出64位分组密码碰撞。当碰撞发生时意味着输入和输出是一样的，这样就可能发动BEAST方式的攻击提取加密数据。

作者Karthik Bhargavan和Gaetan Leurent能够在网络浏览器中运行JavaScript（中间人攻击）并发送大量数据引发碰撞，随后使用这个信息恢复会话cookie。

SWEET32测试

识别服务器是否提供3DES密码，如果服务器支持3DES，那么易受SWEET32影响。

SWEET32的 testssl.sh测试

利用testssl.sh识别弱密码：

./testssl.sh --ciphers TARGET

如果输出结果显示3DES密码如下截图，那么目标服务器易受SWEET32影响：

如果输出如下截图所示，那么服务器不易受SWEET32影响：

另外，你可以通过以下方式为每个协议枚举一台服务器所提供的所有密码：

./testssl.sh -E TARGET

所有使用3DES的密码都易受SWEET32影响。

SWEET32 的Nmap测试

Nmap也可用于枚举服务器密码，NSE插件也会通知是否可用任何64位分组密码：

nmap --script=ssl-enum-ciphers -p443 TARGET

如果在输出结果中看到如下内容，那么就表明发现了64位分组密码

warnings:

|      64-bit block cipher 3DES vulnerable to SWEET32 attack

手动测试SWEET32

使用如上所述Nmap enum-ciphers NSE脚本枚举密码。

DROWN(CVE-2016-0800)

DROWN定义

DROWN（通过过时和弱加密解码RSA）是DROWN攻击最常见的一个变体，它利用的是SSLv2协议中一个允许中间人攻击者利用在20世纪90年代受美国政府限制的出口级别密码的基本弱点（出口级别加密会在以下FREAK漏洞描述中详细说明。）

DROWN测试

DROWN的testssl.sh测试

./testssl.sh -D TARGET

DROWN的Nmap 测试

nmap -p 443 -sV --script=sslv2-drown

FREAK(CVE-2015-0204)

FREAK定义

FREAK（分解RSA导出密钥）利用的是最初由美国政府几十年前推出的TLS/SSL中的一个密码弱点。RSA_EXPORT背后的理念是让出口包含无法被普通计算资源但可被NSA破解的加密。RSA_EXPORT密钥加密512位或更少，可通过现代的计算资源轻易破解。

FREAK攻击跟中间人攻击结合使用可执行降级攻击（强迫服务器使用更弱的密码），导致攻击者捕获数据并破解弱密钥的解码。

自动化测试FREAK攻击

FREAK攻击的testssl.sh 测试

./testssl -F TARGET

FREAK攻击手动测试

通过./testssl.sh -E TARGET或nmap -p 443--script=ssl-enum-ciphers TARGET手动枚举服务器密码，确保服务器支持的如下密码包含：EXPORT。

例如：

Logjam (CVE-2015-4000)

Logjam问题利用的是通过TLS协议（1.2及更早版本）组合Diffie-Hellman交换方式发现的一个缺陷，它影响出口和非出口级别的密码套件（上述所述出口密码）。这个漏洞能导致中间人攻击者实施降级攻击并使用Diffie-Hellman出口密码（DHE_EXPORT）。

Logjam自动化测试

Logjam的testssl.sh测试

./testssl.sh -J TARGET

Logjam的手动测试

禁用EXPORT密码，指南同上述FREAK攻击。

手动枚举服务器提供的密码套件，使用./testssl.sh -ETARGET或nmap -p 443 --script=ssl-enum-ciphers TARGET。

Heartbleed（心脏出血 CVE-2014-0160）

定义

OpenSSL处理TLS和DTLS Heartbeat 扩展数据包的过程中出现一个缺陷，导致攻击者从加密的TLS/DTLS数据中泄露信息。恶意客户端能发送一个特别编制的TLS或DTLS Heartbeat数据包按照联网客户端或服务器的每次请求泄露一部分内存。

被泄露的内存部分能够包含敏感信息如私钥（服务提供商用于加密数据）、真实用户的姓名、用户名和密码。它能导致攻击者窃听通信、伪装成用户和服务并窃取数据。

Heartbleed自动化测试

Heartbleed的通过testssl.sh测试

Heartbleed的Nmap测试

手动测试Heartbleed

通过Metasploit验证Heartbleed的存在，通过verbose设置会显示Heartbleed暴露了内存泄露。

msf> use auxiliary/scanner/ssl/openssl_heartbleed

msf> set rhosts TARGET-ADDRESS

msf> set verbose true

msf> run

POODLE SSLv3 (CVE-2014-3566)

POODLE定义

POODLE攻击是谷歌安全团队在2014年10月14日发现的。这个漏洞利用的是SSLv3处理通过CBC运行模式使用的填充字节方式。

这个缺陷允许中间人攻击者解密所选的且少到256个SSLv3连接的文本字节，前提条件是攻击者强迫受害者应用程序反复通过新建的SSL 3.0连接发送相同的数据。

POODLE自动化测试

POODLE的Nmap测试

POODLE的testssl.sh测试

手动测试POODLE

Openssl的Kali版本不再支持SSLv3。通过testssl.sh/bin/openssl.Linux.x86_64中的二进制开展手动SSLv3测试。

./openssl.Linux.x86_64 s_client -ssl3-connect 10.0.1.159:443

如果握手完成，那么说明服务器易受POODLE攻击。

如下所示，服务器易受POODLE攻击（从响应剪切出的证书）

如果服务器不易受POODLE影响，那么握手会失败并给出如下出错信息：

CCS注入漏洞（CVE-2014-0224）

CCS注入定义

某些OpenSSL版本中存在一个弱点，能通过一个特别编制的握手数据包强迫客户端和服务器使用弱密钥内容进行通信。中间人攻击者能解密并修改客户端和服务器之间的流量。

受影响的OpenSSL版本：

* OpenSSL before 0.9.8za

* OpenSSL 1.0.0 before 1.0.0m

* OpenSSL 1.0.1 before 1.0.1

来源： 

CCS注入自动化测试

CCS注入的testssl.sh 测试

./testssl.sh -I TARGET

CCS注入的Nmap 测试

nmap -p 443 --script=ssl-ccs-injectionTARGET

POODLE TLS(CVE-2014-8730)

POODLE TLS定义

由于TLS填充是SSLv3的一个子集，重新部署针对TLS的POODLE攻击是有可能实现的。TLS对于其填充是如何格式化的要求很严格，然而，一些TLS实现并不会检查解密之后的填充结构，这样即使有TLS也容易遭受POODLE攻击。

来源：

POODLE TLS测试

POODLETLS的testssl.sh 测试

同上述POODLE SSL部分。

OODLE TLS的Nmap P测试

同上述POODLE SSL部分。

BREACH (CVE-2013-3587)

BREACH攻击定义

    BREACH指“通过超文本自适应压缩进行浏览器侦察和渗透”，它跟CRIME类似，攻击者能利用HTTP压缩中的一个漏洞来识别某个页面中是否存在文本。

BREACH攻击过程的基本示例

当页面上发生文本重复时，deflate算法会删除重复术语，从而缩减页面大小。可通过这种方法识别现有的页面内容，下面是Web应用程序的一个示例，显示当前登录的用户在页面中反映的用户名：

* 在搜索参数中输入你认为不存在的一个用户名

* 注意返回页面的大小

* 为你认为存在的一个用户名发送另外一个搜索请求

* 注意返回页面的大小，如果用户名跟登录用户匹配，那么deflate算法就会缩减页面大小

实际上任何流量都未被“解密”，通过分析响应的规模，有可能会预测出文本。

BREACH攻击要成功渗透数据，必须存在一种机制能够在渲染页面中反映用户输入且服务器必须支持HTTP压缩。

自动化测试BREACH

BREACH的testssl.sh测试

./testssl.sh -T TARGET

手动测试BREACH

openssl s_client -connect TARGET:443

输入以下内容识别服务器是否使用了压缩：

GET / HTTP/1.1

Host: TARGET

Accept-Encoding: compress, gzip

如果服务器返回如下截图所示的乱码元字符，那么就表明服务器支持压缩并易受BREACH攻击：

如果目标web服务器并没有返回压缩数据输出，那么就不易受BREACH攻击且压缩已被禁用。

RC4(CVE-2013-2566)

RC4算法用于TLS协议和SSL协议中，它存在很多单字节偏差。静态分析使用相同明文的大量会话中的加密文本，更易于远程攻击者开展明文文本恢复攻击。

自动化测试RC4

RC4的testssl.sh 测试

./testssl.sh -4 TARGET

手动测试RC4

通过./testssl.sh -E TARGET 或 nmap-p 443 --script=ssl-enum-ciphers TARGET枚举服务器密码，确保如下受服务器支持的密码都不使用RC4。

CRIME(CVE-2012-4929)

CRIME攻击定义

CRIME是一个TLS 1.2漏洞，中间人攻击者能利用该漏洞识别出加密数据并（可能）实施会话劫持。当某个字符匹配头部，攻击者能通过检查加密文本大小同时从浏览器推出多个有效负载的方式识别出加密数据并推导出会话cookie。CRIME攻击实际上并没有解密任何数据，TLS 1.2处理压缩的方式中存在一个弱点，当头信息中存在这个字符时，攻击者能够通过比对返回的大小识别出来。

自动化测试CRIME

CRIME的testssl.sh测试

./testssl.sh -C TARGET

手动测试CRIME

Kali版本使用的Openssl客户端不再允许TLS 1.2压缩。如果你测试用的是这个版本的openssl，那么响应总是“Compression: NONE”，即使目标服务器启用了TLS 1.2压缩也会出现同样的响应结果。Openssl.Linux.x86_64带有testssl.sh能解决这个问题。

./bin/openssl.Linux.x86_64 s_client -connect10.0.1.158:443

输出示例—不易受CRIME攻击

如果服务器不易受CRIME攻击，那么“Compression: NONE”表明服务器禁用了压缩并且它不易受CRIME攻击。

Compression: NONE

输出示例—易受CRIME攻击

Compression: zlib compression

重新谈判（CVE-2009-3555）

TLS/SSL重新谈判漏洞定义

2009年，研究人员发现一个利用TLS&SSL协议重新谈判进程的漏洞，攻击者能在会话开头插入数据并攻陷其完整性。

条件

以下是利用漏洞必须满足的条件：

* 服务器必须不支持安全的重新谈判

* 服务器必须允许客户端重新谈判

自动化测试重新谈判

安全的重新谈判和客户端重新测试如下：

手动测试重新谈判

测试安全的重新谈判

openssl s_client -connect TARGET:443

当安全的重新谈判未启动时的示例：

当安全的重新谈判启用时的示例：

测试由客户端触发的安全重新谈判

openssl s_client -connect TARGET:443

类型

HEAD / HTTP/1.1

R

点击返回，如果看到的响应如下

HEAD / HTTP/1.1

R

RENEGOTIATING

那么表明服务器允许客户端重新谈判。

如果响应如下：

HEAD / HTTP/1.1

R

RENEGOTIATING

139681067286040:error:1409E0E5:SSL routines:ssl3_write_bytes:sslhandshake failure:s3_pkt.c:656:

则说明服务器不支持客户端重新谈判。

TLS&SSL证书

服务器证书虽然并非加密所要求，但应该进行评估找出配置错误和弱密码签名，如下是证书检查的查看列表：

通过如下语句拿到目标服务器证书：

openssl s_client -connect TARGET:443 |openssl x509 -noout -text

证书速查表

HTTP安全头部

HTTP安全头部定义

如果正确配置HTTP安全头部，它就会为你的域名提供额外的安全功能。如下是主要的HTTP安全头部概览：

可通过Burp Suite、Curl或testssl.sh（以及其他很多工具）检查HTTP安全头部。

通过Curl检查HTTP安全头部

curl -s -D - TARGET -o /dev/null

输出示例：

通过testssl.sh检查HTTP安全头部

./testssl.sh -H

HTTP安全头部速查表

结论

希望这篇文章澄清了对一些更常见的TLS&SSL漏洞的测试流程。如有纰漏或任何建议或技术，欢迎随时讨论。

本文由360代码卫士编译，不代表360观点，转载请注明“转自360代码卫士www.codesafe.cn”。