鱉甲文物

此儲存庫包含論文「Terrapin Attack: Breaking SSH Channel Integrity By Sequence Number Manipulation」的工件，該論文已在第 33 屆 USENIX 安全研討會上被接受。

此儲存庫中的程式碼除其他工件外還包含以下 CVE 的概念驗證攻擊代理程式：

• CVE-2023-48795（一般協定缺陷）
• CVE-2023-46445（AsyncSSH 惡意擴充協商）
• CVE-2023-46446（AsyncSSH 惡意會話攻擊）

這些工件中包含的所有 PoC 和腳本都設計為在 Docker 容器內執行。因此，請確保您擁有最新的 Linux（已測試）或 MacOS / Windows（未經測試）作業系統並安裝了 Docker。為了輕鬆複製論文結果，請參閱scripts夾中包含的腳本（請參閱上面的儲存庫結構）。

所有腳本都將在--network host中執行容器，以便在 lo 介面上使用 Wireshark 輕鬆擷取。預設情況下，SSH 伺服器將綁定到連接埠 2200/tcp，而 PoC 腳本將綁定到 2201/tcp。由於 PoC 腳本和 SSH 伺服器綁定到 0.0.0.0，建議斷開系統與網路的連接或正確配置防火牆，以避免向本地網路洩漏不安全的 SSH 服務。

您也可以自行決定建置和執行單獨的 Docker 容器（PoC 和 SSH 實作）。

• Linux 或 MacOS。不需要特定的發行版或版本。我們使用 Manjaro（2024 年 3 月滾動發布）和 MacOS 14.4 (Sonoma)。 Windows WSL 可能可以工作，但未經測試且不受支援。
• Bash shell 解譯器（通常包含在上面）。不需要特定版本。我們使用 bash 5.2.26 和 3.2.57。
• Docker 引擎或 Docker 桌面。雖然 Docker Engine 就足夠了，並且通常包含在 Linux 發行版中，但 Docker Desktop 是 MacOS 上的單獨安裝。不需要特定版本。我們使用 Docker Engine 25.0.3 和 Docker Desktop 4.28.0。
  • Linux： https://docs.docker.com/engine/install
  • MacOS： https://www.docker.com/products/docker-desktop

您可以執行impl/build.sh和pocs/build.sh來檢查您的設定。輸出應表明正在使用 Docker 建置評估映像。如果沒有輸出，則所有 docker 映像都已建置。

$ impl/build.sh
[+] Building 2.0s (15/15) FINISHED
[...]
= > = > naming to docker.io/terrapin-artifacts/openssh-server:9.4p1
[...]
$ pocs/build.sh
[...]

• (C1)：序號操作（第 4.1 節）。我們針對 PuTTY 0.79 成功驗證了所有技術。此外，我們的實驗表明 OpenSSH 9.5p1 可以識別序號的翻轉並終止連接，因此不受 RcvIncrease 之外的任何技術的影響。 AsyncSSH 2.13.2 和 libssh 0.10.5 允許 RcvIncrease，但在任何高級技術結束之前因握手超時而終止連接。 Dropbear 2022.83 在 UNKNOWN 訊息上斷開連接，而不是回應 UNIMPLMENTED，但允許 Rcv 滾動，因此僅受 RcvIncrease 和 RcvDecrease 影響。
• (C2)：擴展降級（第 5.2 節）。我們在 ChaCha20-Poly1305 和 CBC-EtM 上針對 OpenSSH 9.5p1 和 PuTTY 0.79 用戶端進行了 10,000 次試驗，成功評估了該攻擊，連接到 OpenSSH 9.4p1（僅限未知）和 9.5p1。對於 CBC-EtM，我們的實踐成功率為 0.0003 (OpenSSH)。 0.0300 (PuTTY)，分別提高到 0.0074 (OpenSSH)。發送 PING 而非 UNKNOWN 時為 0.8383 (PuTTY)。
• (C3)：惡意擴充協商（第 6.1 節）。我們成功評估了作為客戶端連接到 AsyncSSH 2.13.2 的針對 AsyncSSH 2.13.2 的攻擊。
• (C4)：惡意會話攻擊（第 6.2 節）。我們成功評估了針對 AsyncSSH 2.13.2 作為伺服器的攻擊，連接到 AsyncSSH 2.13.2。

傳奇：

• - → 未評估
• ✅ → 攻擊成功
• R → 用戶端終止連線（翻轉）。
• T → 用戶端終止連線（逾時）。
• U → 用戶端終止連線（未知訊息）。

• (E1)： scripts/test-sqn-manipulation.sh - 執行四個序號操縱攻擊之一來證明 (C1)。

  • 預期運行時間：每個客戶端/變體組合約 1 - 3 小時。
  • 執行：啟動腳本後，選擇一個客戶端，四個攻擊選項之一，並輸入操縱偏移量N。
  • 結果：進度條填滿後，攻擊完成。之後，由於安全通道被破壞，將會出現錯誤訊息，因為腳本沒有實現任何前綴截斷來完成攻擊。

• (E2a)： scripts/test-ext-downgrade.sh - 執行擴展降級攻擊以證明 ChaCha20-Poly1305 的 (C2)。

  • 預計運行時間：約1分鐘。

  • 執行：啟動腳本後，選擇任意客戶端和伺服器組合。然後，選擇攻擊變體1，選擇ChaCha20-Poly1305。

  • 結果：腳本將透過在less中同時開啟以下檔案來結束：

    1. 文件 3 和 4 的diff
    2. 文件 5 和 6 的diff
    3. 伺服器日誌（未修改的連線）
    4. 伺服器日誌（連線被篡改）
    5. 客戶端日誌（未修改的連線）
    6. 客戶端日誌（連線被篡改）
    7. PoC 代理程式日誌

    導航到第二個文件。該檔案將發生擴充降級攻擊時所選 SSH 用戶端的輸出與未修改連線的輸出進行比較。差異將指示僅在未修改的連接中存在 SSH_MSG_EXT_INFO 和不存在 SSH_MSG_IGNORE，從而證明 (C2) ChaCha20-Poly1305。

• (E2b)： scripts/bench-ext-downgrade.sh - 執行擴展降級攻擊 10,000 次以證明 (C2) CBC-EtM（未知和 PING）。

  • 預期運行時間：每個客戶端/變體組合大約需要 1 - 2 小時。
  • 執行：啟動腳本後，在 UNKNOWN 和 PING 攻擊變體之間進行選擇，然後在 OpenSSH 和 PuTTY 用戶端之間進行選擇。進度條將顯示目前的試驗。
  • 結果：所有試連線完成後，控制台會輸出試運轉成功的次數。相對成功率將接近 (C2) 中聲稱的值，從而在 CBC-EtM 的情況下證明 (C2) 中聲稱的功能和成功機率。

• (E3): scripts/test-asyncssh-rogue-ext-negotiation.sh

  • 預計運行時間：約1分鐘。
  • 執行：攻擊是自動的。
  • 結果：腳本將透過在less中開啟一組七個檔案來結束。有關開啟的文件列表，請參閱 (E2a) 的結果。導航到第二個文件。差異將表明在被篡改的連接中存在帶有攻擊者選擇的值的 server-sig-algs 擴展，從而證明（C3）。

• (E4): scripts/test-asyncssh-rogue-session-attack.sh

  • 預計運行時間：約1分鐘。
  • 執行：攻擊是自動的。
  • 結果：腳本將透過在less中開啟一組七個檔案來結束。有關開啟的文件列表，請參閱 (E2a) 的結果。導航到第一個文件。差異將分別表明受害者（未修改的連接）和攻擊者（被篡改的連接）的身份驗證成功。然後，導航到第二個文件並檢查文件末尾每個客戶端連接的輸出。在未修改的連線中，伺服器將使用受害者使用者名稱回應，而在受到攻擊的連線中，伺服器將使用攻擊者使用者名稱回應。這就證明了(C4)。

若要使用 scan_util.py，請透過在scan資料夾中執行以下命令來建置 docker 容器：

docker build . -t terrapin-artifacts/scan-util

zgrab2 結果文件的評估：

docker run --rm -v ./sample:/files terrapin-artifacts/scan-util evaluate -i /files/sample.json -o /files/sample.acc.json

從 zmap 傳回的 IP 位址清單中刪除被封鎖的 IP 位址：

docker run --rm -v ./sample:/files terrapin-artifacts/scan-util filter-blocked-ips -i /files/zmap.csv -o /files/zmap-filtered.csv -b /files/blocklist.txt

透過刪除連線失敗的條目來整理 zgrab2 結果檔：

docker run --rm -v ./sample:/files terrapin-artifacts/scan-util tidy-zgrab2 -i /files/sample.json -o /files/sample-clean.json

1. 當提前退出測試腳本時（即透過鍵盤中斷），容器不會被終止，也不會從系統中刪除。這可能會影響測試腳本的後續運行，因為容器名稱在整個腳本中重複使用。為了避免這種情況，請執行scripts/cleanup-system.sh ，它會刪除任何中間結果，並終止和刪除與這些工件相關的任何正在運行的容器。若要在下次執行測試腳本時重建映像，請指定--full標誌。
2. PoC 腳本可能會退出並顯示錯誤，指示該位址已在使用中。當測試腳本運行之前被中斷並且另一個測試腳本快速連續啟動時，可能會發生這種情況。要解決此問題，請在運行之間等待相當長的時間（最多 4 分鐘），以便系統清理套接字偵聽器。

 .
├── impl
│   ├── asyncssh                 # AsyncSSH 2.13.2 (client / server) Dockerfile and additional files
│   ├── dropbear                 # Dropbear 2022.83 (client / server) Dockerfile and additional files
│   ├── libssh                   # libssh 0.10.5 (client / server) Dockerfile and additional files
│   ├── openssh                  # OpenSSH 9.4p1 / 9.5p1 (client / server) Dockerfile and additional files
│   ├── putty                    # PuTTY 0.79 (client only) Dockerfile and additional files
│   └── build.sh                 # Script to build all required implementation Docker images for reproducing our results
├── pocs                         # Proof of concept scripts
│   ├── sqn-manipulations        # Scripts related to sequence number manipulation (section 4.1)
│   ├── ext-downgrade            # Scripts related to the extension downgrade attack (section 5.2)
│   ├── asyncssh                 # Scripts related to AsyncSSH vulnerabilities (section 6)
│   ├── Dockerfile               # Multistage Dockerfile to build PoC docker images
│   └── build.sh                 # Script to build all required PoC Docker images for reproducing our results
├── scan                         # Files related to the internet-wide scan conducted
│   ├── paper                    # Directory containing the aggregated scan data referenced in the final version of the paper
│   ├── sample                   # Directory containing an anonymized zgrab2 ssh results sample to use with scan_util.py
│   ├── scan_util.py             # Utility script for aggregating zgrab2 ssh results
│   ├── requirements.txt         # pip requirements file for scan_util.py
│   └── Dockerfile               # Dockerfile to build a docker image running scan_util.py
├── scripts                      # Scripts for easier reproduction of our results presented in the paper
│   ├── bench-ext-downgrade.sh   # Benchmark script to evaluate the success rate of the CBC-EtM variant of the extension downgrade attack
│   ├── cleanup-system.sh        # A cleanup script which can be used to containers and images related to these artifacts
│   ├── start-wireshark.sh       # A convenience script to start Wireshark capturing on lo interface with SSH decoding and display filter
│   ├── test-asyncssh-rogue-ext-negotiation.sh
│   │                            # Test script for the AsyncSSH-specific rogue extension negotiation attack (section 6.1 / figure 6)
│   ├── test-asnycssh-rogue-session-attack.sh
│   │                            # Test script for the AsyncSSH-specific rogue session attack (section 6.2 / figure 7)
│   ├── test-ext-downgrade.sh    # Test script for the extension downgrade attack (section 5.2 / figure 5)
│   └── test-sqn-manipulation.sh # Test script for sequence number manipulation (section 4.1)
├── traces                       # PCAP traces of the PoC scripts
├── LICENSE
└── README.md

使用以下第三方函式庫：

• CLI介面：點選
• CLI 進度條：tqdm