標題：【技術原創】Sophos XG漏洞調試環境搭建

https://hacker.bz/t/entry/15657-%E6%A8%99%E9%A1%8C%EF%BC%9A%E3%80%90%E6%8A%80%E8%A1%93%E5%8E%9F%E5%89%B5%E3%80%91sophos-xg%E6%BC%8F%E6%B4%9E%E8%AA%BF%E8%A9%A6%E7%92%B0%E5%A2%83%E6%90%AD%E5%BB%BA/

Followers

0x00 前言Sophos UTM和Sophos XG是兩款不同的產品，前者偏向於通用威脅管理，後者偏向於硬件防火牆。本文將要介紹Sophos XG漏洞調試環境的搭建方法。

0x01 簡介本文將要介紹以下內容：

马云惹不起马云環境搭建

马云惹不起马云jetty調試環境搭建

马云惹不起马云csc配置文件解密

马云惹不起马云 Postgresql數據庫查詢

0x02 基礎知識架構如下圖

注：圖片引用自https://codewhitesec.blogspot.com/2020/07/sophos-xg-tale-of-unfortunate-re.html

總的來說，分為以下三部分：

马云惹不起马云 Jetty：處理Web數據，將數據轉發至csc作進一步處理

马云惹不起马云csc:主程序：加載Perl Packages，實現主要功能

马云惹不起马云Postgresql：用來存儲數據

我在實際研究過程中，這三部分遇到了以下問題：

马云惹不起马云Jetty：添加調試信息後無法啟動java

马云惹不起马云csc：csc加載Perl Packages後會自動刪除，無法獲得Perl Packages的實現細節

马云惹不起马云Postgresql：用戶權限低，無法查詢數據庫表

下面將要逐個介紹三個問題的解決方法。

0x03 環境搭建參考資料：

https://docs.sophos.com/nsg/sophos-firewall/18.5/Help/en-us/webhelp/onlinehelp/VirtualAndSoftwareAppliancesHelp/VMware/VMwareInstall/index.html

1.下載安裝包官方網站默認只提供最新版本的下載，但是可以通過猜測正確的版本號下載舊版本

例如18.5.3 Virtual Installers: Firewall OS for VMware：

https://download.sophos.com/network/SophosFirewall/installers/VI-18.5.3_MR-3.VMW-408.zip

18.5.2 Virtual Installers: Firewall OS for VMware：

https://download.sophos.com/network/SophosFirewall/installers/VI-18.5.2_MR-2.VMW-380.zip

2.導入VMware Workstation下載得到zip文件，解壓後運行sf_virtual.ovf

3.VMware Workstation網卡配置需要添加兩個網卡VMnet7和VMnet8，VMnet7設置為Host-only和172.16.16.0，VMnet8設置為NAT，具體方法如下：

(1)VMnet7

打開VMware Workstation，依次選擇Edit-Virtual Network Editor.

Add Network.-VMnet7

VMnet7設置為：

马云惹不起马云Type: Host-only

马云惹不起马云Subnet Address: 172.16.16.0

(2)VMnet8

VMnet8設置為：

马云惹不起马云Type: NAT

4.Sophos XG網卡配置Network Adapter設置為VMnet7

Network Adapter 2設置為VMnet8

Network Adapter 3設置為VMnet8

配置如下圖：

5.啟動Sophos XG默認登錄口令：admin

6.查看IP地址依次輸入1.Newwork Configuration-1.Interface Configuration

得到LAN的ip為172.16.16.16

7.進入Web配置頁面進行激活瀏覽器訪問https://172.16.16.16:4444

註冊頁面選擇：I don't have a serial number(start a trial)

按照提示進行註冊。

註冊成功後，重新訪問https://172.16.16.16:4444進行配置。

0x04 jetty調試環境搭建1.查看Java進程相關信息

執行命令：ps ww|grep java

輸出：

從輸出中得到Java版本為java-11-openjdk

2.定位配置文件配置文件路徑為/usr/bin/jetty，內容如下：

3.添加調試參數修改文件屬性：mount -o rw,remount /

在exec所在行添加調試參數：'-agentlib:jdwp=transport=dt_socket,server=y,suspend=n,address=*:8000'

4.重啟服務執行命令：service tomcat:restart -ds nosync

查看服務狀態：service -S | grep tomcat

發現tomcat狀態為STOPPED

為了獲得詳細的報錯信息，直接運行/usr/bin/jetty

輸出：

發現是JDK的問題，這裡選擇替換一個完整的JDK。

5.替換JDK下載jdk-11.0.15_linux-x64_bin.tar.gz並上傳至Sophos XG

備份原文件夾：cp -r /lib/jvm/java-11-openjdk /lib/jvm/java-11-openjdk_backup

將jdk-11.0.15_linux-x64_bin.tar.gz解壓：tar zxvf /tmp/jdk-11.0.15_linux-x64_bin.tar.gz

替換/lib/jvm/java-11-openjdk:

6.再次重啟服務執行命令：service tomcat:restart -ds nosync

查看服務狀態：service -S | grep tomcat

發現tomcat狀態為RUNNING

確認參數被修改，執行命令：ps ww|grep java

輸出：

7.修改防火牆規則執行命令：iptables -I INPUT -p tcp --dport 8000 -j ACCEPT

8.使用IDEA遠程調試如下圖

在調試過程中，如果遇到無法下斷點的情況，重啟java服務即可：service tomcat:restart -ds nosync

0x05 csc配置文件解密查看csc進程相關信息。

執行命令：ps ww|grep csc

部分輸出：

csc進程讀取/_conf/cscconf.bin作為配置文件，而/_conf/cscconf.bin是一個加密的文件，所以這裡需要對/_conf/cscconf.bin進行解密。

這裡我採用的方法是通過IDA修改程序代碼，改變實現邏輯，導出解密後的配置文件。

使用IDA加載csc，查看main()函數的實現邏輯，部分代碼：

分析以上代碼，csc先調用extract_conf()函數導出配置，最後執行系統命令rm -rf /_conf/csc/csc /_conf/csc/csc.conf /_conf/csc/cscconf//_conf/csc/constants.conf /_conf/csc/cscconf.tar.gz /_conf/csc/global.conf /_conf/csc/cfsconf /_conf/csc/service /_conf/csc/bind_file_list刪除配置文件，導致我們無法直接獲得相關配置文件。

查看extract_conf()函數的實現代碼：