鳖甲文物

此存储库包含论文“Terrapin Attack: Breaking SSH Channel Integrity By Sequence Number Manipulation”的工件，该论文已在第 33 届 USENIX 安全研讨会上被接受。

此存储库中的代码除其他工件外还包含以下 CVE 的概念验证攻击代理：

• CVE-2023-48795（一般协议缺陷）
• CVE-2023-46445（AsyncSSH 恶意扩展协商）
• CVE-2023-46446（AsyncSSH 恶意会话攻击）

这些工件中包含的所有 PoC 和脚本都设计为在 Docker 容器内运行。因此，请确保您拥有最新的 Linux（已测试）或 MacOS / Windows（未经测试）操作系统并安装了 Docker。为了轻松复制论文结果，请参阅scripts夹中包含的脚本（请参阅上面的存储库结构）。

所有脚本都将在--network host中运行容器，以便在 lo 接口上使用 Wireshark 轻松捕获。默认情况下，SSH 服务器将绑定到端口 2200/tcp，而 PoC 脚本将绑定到 2201/tcp。由于 PoC 脚本和 SSH 服务器绑定到 0.0.0.0，建议断开系统与网络的连接或正确配置防火墙，以避免向本地网络泄露不安全的 SSH 服务。

您还可以自行决定构建和运行单独的 Docker 容器（PoC 和 SSH 实现）。

• Linux 或 MacOS。不需要特定的发行版或版本。我们使用 Manjaro（2024 年 3 月滚动发布）和 MacOS 14.4 (Sonoma)。 Windows WSL 可能可以工作，但未经测试且不受支持。
• Bash shell 解释器（通常包含在上面）。不需要特定版本。我们使用 bash 5.2.26 和 3.2.57。
• Docker 引擎或 Docker 桌面。虽然 Docker Engine 就足够了，并且通常包含在 Linux 发行版中，但 Docker Desktop 是 MacOS 上的单独安装。不需要特定版本。我们使用 Docker Engine 25.0.3 和 Docker Desktop 4.28.0。
  • Linux： https://docs.docker.com/engine/install
  • MacOS： https://www.docker.com/products/docker-desktop

您可以运行impl/build.sh和pocs/build.sh来检查您的设置。输出应表明正在使用 Docker 构建评估映像。如果没有输出，则所有 docker 镜像都已构建。

$ impl/build.sh
[+] Building 2.0s (15/15) FINISHED
[...]
= > = > naming to docker.io/terrapin-artifacts/openssh-server:9.4p1
[...]
$ pocs/build.sh
[...]

• (C1)：序列号操作（第 4.1 节）。我们针对 PuTTY 0.79 成功验证了所有技术。此外，我们的实验表明 OpenSSH 9.5p1 可以识别序列号的翻转并终止连接，因此不受除 RcvIncrease 之外的任何技术的影响。 AsyncSSH 2.13.2 和 libssh 0.10.5 允许 RcvIncrease，但在任何高级技术结束之前由于握手超时而终止连接。 Dropbear 2022.83 在 UNKNOWN 消息上断开连接，而不是响应 UNIMPLMENTED，但允许 Rcv 滚动，因此仅受 RcvIncrease 和 RcvDecrease 影响。
• (C2)：扩展降级（第 5.2 节）。我们在 ChaCha20-Poly1305 和 CBC-EtM 上针对 OpenSSH 9.5p1 和 PuTTY 0.79 客户端进行了 10,000 次试验，成功评估了该攻击，连接到 OpenSSH 9.4p1（仅限未知）和 9.5p1。对于 CBC-EtM，我们的实践成功率为 0.0003 (OpenSSH)。 0.0300 (PuTTY)，分别提高到 0.0074 (OpenSSH)。发送 PING 而不是 UNKNOWN 时为 0.8383 (PuTTY)。
• (C3)：恶意扩展协商（第 6.1 节）。我们成功评估了作为客户端连接到 AsyncSSH 2.13.2 的针对 AsyncSSH 2.13.2 的攻击。
• (C4)：恶意会话攻击（第 6.2 节）。我们成功评估了针对 AsyncSSH 2.13.2 作为服务器的攻击，连接到 AsyncSSH 2.13.2。

传奇：

• - → 未评估
• ✅ → 攻击成功
• R → 客户端终止连接（翻转）。
• T → 客户端终止连接（超时）。
• U → 客户端终止连接（未知消息）。

• (E1)： scripts/test-sqn-manipulation.sh - 运行四个序列号操纵攻击之一来证明 (C1)。

  • 预期运行时间：每个客户端/变体组合大约 1 - 3 小时。
  • 执行：启动脚本后，选择一个客户端，四个攻击选项之一，并输入操纵偏移量N。为了证明（C1），输入N = 1。
  • 结果：进度条填满后，攻击完成。之后，由于安全通道被破坏，将会出现错误消息，因为脚本没有实现任何前缀截断来完成攻击。

• (E2a)： scripts/test-ext-downgrade.sh - 运行扩展降级攻击以证明 ChaCha20-Poly1305 的 (C2)。

  • 预计运行时间：约1分钟。

  • 执行：启动脚本后，选择任意客户端和服务器组合。然后，选择攻击变体1，选择ChaCha20-Poly1305。

  • 结果：脚本将通过在less中同时打开以下文件来结束：

    1. 文件 3 和 4 的diff
    2. 文件 5 和 6 的diff
    3. 服务器日志（未修改的连接）
    4. 服务器日志（连接被篡改）
    5. 客户端日志（未修改的连接）
    6. 客户端日志（连接被篡改）
    7. PoC 代理日志

    导航到第二个文件。该文件将发生扩展降级攻击时所选 SSH 客户端的输出与未修改连接的输出进行比较。差异将指示仅在未修改的连接中存在 SSH_MSG_EXT_INFO 和不存在 SSH_MSG_IGNORE，从而证明 (C2) ChaCha20-Poly1305。

• (E2b)： scripts/bench-ext-downgrade.sh - 运行扩展降级攻击 10,000 次以证明 (C2) CBC-EtM（未知和 PING）。

  • 预期运行时间：每个客户端/变体组合大约需要 1 - 2 小时。
  • 执行：启动脚本后，在 UNKNOWN 和 PING 攻击变体之间进行选择，然后在 OpenSSH 和 PuTTY 客户端之间进行选择。进度条将显示当前的试验。
  • 结果：所有试连接完成后，控制台会输出试运行成功的次数。相对成功率将接近 (C2) 中声称的值，从而在 CBC-EtM 的情况下证明 (C2) 中声称的功能和成功概率。

• (E3): scripts/test-asyncssh-rogue-ext-negotiation.sh

  • 预计运行时间：约1分钟。
  • 执行：攻击是自动的。
  • 结果：脚本将通过在less中打开一组七个文件来结束。有关打开的文件列表，请参阅 (E2a) 的结果。导航到第二个文件。差异将表明在被篡改的连接中存在带有攻击者选择的值的 server-sig-algs 扩展，从而证明（C3）。

• (E4): scripts/test-asyncssh-rogue-session-attack.sh

  • 预计运行时间：约1分钟。
  • 执行：攻击是自动的。
  • 结果：脚本将通过在less中打开一组七个文件来结束。有关打开的文件列表，请参阅 (E2a) 的结果。导航到第一个文件。差异将分别表明受害者（未修改的连接）和攻击者（被篡改的连接）的身份验证成功。然后，导航到第二个文件并检查文件末尾每个客户端连接的输出。在未修改的连接中，服务器将使用受害者用户名进行响应，而在受到攻击的连接中，服务器将使用攻击者用户名进行响应。这就证明了(C4)。

要使用 scan_util.py，请通过在scan文件夹中运行以下命令来构建 docker 容器：

docker build . -t terrapin-artifacts/scan-util

zgrab2 结果文件的评估：

docker run --rm -v ./sample:/files terrapin-artifacts/scan-util evaluate -i /files/sample.json -o /files/sample.acc.json

从 zmap 返回的 IP 地址列表中删除被阻止的 IP 地址：

docker run --rm -v ./sample:/files terrapin-artifacts/scan-util filter-blocked-ips -i /files/zmap.csv -o /files/zmap-filtered.csv -b /files/blocklist.txt

通过删除连接失败的条目来整理 zgrab2 结果文件：

docker run --rm -v ./sample:/files terrapin-artifacts/scan-util tidy-zgrab2 -i /files/sample.json -o /files/sample-clean.json

1. 当提前退出测试脚本时（即通过键盘中断），容器不会被终止，也不会从系统中删除。这可能会影响测试脚本的后续运行，因为容器名称在整个脚本中重复使用。为了避免这种情况，请运行scripts/cleanup-system.sh ，它会删除任何中间结果，并终止和删除与这些工件相关的任何正在运行的容器。要在下次执行测试脚本时重建映像，请指定--full标志。
2. PoC 脚本可能会退出并显示错误，指示该地址已在使用中。当测试脚本运行之前被中断并且另一个测试脚本快速连续启动时，可能会发生这种情况。要解决此问题，请在运行之间等待相当长的时间（最多 4 分钟），以便系统清理套接字侦听器。

 .
├── impl
│   ├── asyncssh                 # AsyncSSH 2.13.2 (client / server) Dockerfile and additional files
│   ├── dropbear                 # Dropbear 2022.83 (client / server) Dockerfile and additional files
│   ├── libssh                   # libssh 0.10.5 (client / server) Dockerfile and additional files
│   ├── openssh                  # OpenSSH 9.4p1 / 9.5p1 (client / server) Dockerfile and additional files
│   ├── putty                    # PuTTY 0.79 (client only) Dockerfile and additional files
│   └── build.sh                 # Script to build all required implementation Docker images for reproducing our results
├── pocs                         # Proof of concept scripts
│   ├── sqn-manipulations        # Scripts related to sequence number manipulation (section 4.1)
│   ├── ext-downgrade            # Scripts related to the extension downgrade attack (section 5.2)
│   ├── asyncssh                 # Scripts related to AsyncSSH vulnerabilities (section 6)
│   ├── Dockerfile               # Multistage Dockerfile to build PoC docker images
│   └── build.sh                 # Script to build all required PoC Docker images for reproducing our results
├── scan                         # Files related to the internet-wide scan conducted
│   ├── paper                    # Directory containing the aggregated scan data referenced in the final version of the paper
│   ├── sample                   # Directory containing an anonymized zgrab2 ssh results sample to use with scan_util.py
│   ├── scan_util.py             # Utility script for aggregating zgrab2 ssh results
│   ├── requirements.txt         # pip requirements file for scan_util.py
│   └── Dockerfile               # Dockerfile to build a docker image running scan_util.py
├── scripts                      # Scripts for easier reproduction of our results presented in the paper
│   ├── bench-ext-downgrade.sh   # Benchmark script to evaluate the success rate of the CBC-EtM variant of the extension downgrade attack
│   ├── cleanup-system.sh        # A cleanup script which can be used to containers and images related to these artifacts
│   ├── start-wireshark.sh       # A convenience script to start Wireshark capturing on lo interface with SSH decoding and display filter
│   ├── test-asyncssh-rogue-ext-negotiation.sh
│   │                            # Test script for the AsyncSSH-specific rogue extension negotiation attack (section 6.1 / figure 6)
│   ├── test-asnycssh-rogue-session-attack.sh
│   │                            # Test script for the AsyncSSH-specific rogue session attack (section 6.2 / figure 7)
│   ├── test-ext-downgrade.sh    # Test script for the extension downgrade attack (section 5.2 / figure 5)
│   └── test-sqn-manipulation.sh # Test script for sequence number manipulation (section 4.1)
├── traces                       # PCAP traces of the PoC scripts
├── LICENSE
└── README.md

使用以下第三方库：

• CLI界面：点击
• CLI 进度条：tqdm