標題：網絡協議模糊測試之旅——剖析MicrosoftIMAP客戶端協議（上）

網絡協議是一組規則，定義了用於解釋計算機發送的原始數據的標準格式和過程。網絡協議就像計算機的通用語言。網絡中的計算機可能使用截然不同的軟件和硬件；協議的作用就是使其可以相互通信。

許多網絡協議服務於不同的目的，其中一些可能很複雜。由於其固有的複雜性，網絡應用程序中的安全漏洞是不可避免的。與其他攻擊媒介相比，網絡應用程序中的安全漏洞通常會產生更顯著的安全影響，因為攻擊者可能能夠利用這些漏洞在易受攻擊的計算機上獲得遠程代碼執行狀態，而無需任何用戶交互。我們已經在現實生活中看到過此類攻擊，例如臭名昭著的WannaCry勒索軟件，它利用簡單消息塊(SMB)協議（稱為EternalBlue）通過加密數據和要求以比特幣加密貨幣支付贖金來攻擊MicrosoftWindows計算機。迄今為止，據估計，這種惡意軟件已經影響了150個國家的20多萬台電腦。

強化網絡應用程序是一項關鍵任務，可以最大限度地減少WannaCry等攻擊媒介。研究人員致力於確保使用網絡協議模糊測試等工具正確保護許多最流行的網絡應用程序。這種漏洞發現技術將格式錯誤的數據包發送到正在測試的應用程序，以發現網絡協議實現中的漏洞。發現並報告這些漏洞，特別是在常用應用程序中，有助於降低每個人的網絡風險。

Fortinet的研究人員與其他威脅研究團體一起幫助實現這一目標。在本博客中，我們記錄了審核和模糊測試MicrosoftInternet消息訪問協議(IMAP)客戶端協議的過程。雖然我們沒有發現任何新漏洞，但詳細的指南可以幫助其他人在他們的威脅發現和分析工具庫中添加或改進模糊技術策略。

為什麼選擇IMAP客戶端協議？網絡應用程序使用客戶端和服務器架構來交換數據。然而，即使它們共享相同的網絡協議規範，客戶端和服務器之間的數據解釋也是不同的。數據解釋通常由在各個組件中實現的解析器按照單獨的規範執行。因此，研究人員必須同時檢查客戶端和服務器，以確保解析器正確實現。

我們的經驗表明，在審計安全實現時，服務器比客戶端更受研究人員的關注。但是，不太安全的客戶端也可能包含可以被利用的高價值目標。但是由於我們沒有看到供應商公開報告的許多IMAP客戶端安全問題，我們決定研究IMAP客戶端實現，同時獲得一些關於開源模糊器WhatTheFuzz(WTF)的實踐經驗。 WTF是一種分佈式、代碼覆蓋引導、可定制、跨平台的基於快照的模糊器，旨在攻擊運行在MicrosoftWindows上的用戶或內核模式目標。

本文中沒有漏洞披露，因為我們沒有在MicrosoftIMAP客戶端中發現任何安全問題。但我們確實分享了一些兔子洞、我們遇到的限制以及調試WTF模糊器模塊的提示和技巧。我們還將介紹一個特別有趣的IMAP響應輸入的逆向過程，該輸入最初似乎很脆弱，但在深入研究代碼後發現是良性的。

了解基本IMAP協議IMAP客戶端支持用於不同IMAP操作的各種命令。客戶端命令開始一個操作並期望來自服務器的響應。每個客戶端命令都以稱為“標記”的標識符作為前綴。對於客戶端發送的每個命令，這個“標籤”應該是唯一的。通常，客戶端命令如下所示：

重要的是，客戶端必須嚴格按照規範遵循語法。發送缺少或無關的空格或參數的命令是一個語法錯誤。

IMAP連接包括建立客戶機/服務器網絡連接、來自服務器的初始問候以及客戶機/服務器交互。這些客戶機/服務器交互包括客戶機命令、服務器數據和服務器完成結果響應。

客戶端和服務器傳輸的所有交互都是行的形式，即以回車和換行結尾的字符串。

客戶端需要做的第一件事是在特定端口上與遠程服務器建立連接。在這種情況下，我們使用openssl從終端連接到自定義IMAP服務器。

注意到服務器狀態響應以“*”為前綴，稱為未標記響應，表示服務器問候，或服務器狀態不表示命令完成（例如，即將發生的系統關閉警報）。

客戶端通常發送的下一個命令是CAPABILITY。 CAPABILITY命令允許客戶端獲取服務器支持的功能列表。未在未標記響應中列出的任何功能都將被標記響應中指示的服務器視為BAD命令。

狀態響應可以加標籤或不加標籤。標記狀態響應指示客戶端命令的完成結果（OK、NO或BAD狀態），並具有與命令匹配的前綴標記。

客戶端必須先向IMAP服務器進行身份驗證，然後才能導航郵箱。有一些IMAP服務器實現允許匿名訪問某些郵箱。像下面的例子一樣，我們的自定義IMAP服務器允許匿名訪問。但是，值得注意的是，經過身份驗證的客戶端的功能列表通常與未經身份驗證的客戶端不同。登錄的客戶端通常包含更多來自IMAP服務器的未鎖定功能。

現在客戶端已登錄，它可以列出郵箱中存在的文件夾

這樣，我們就可以看到郵箱中存在的文件夾層次結構。文件夾具有名稱屬性，在括號中表示。一些屬性對於遍歷文件夾層次結構很有用，例如HasNoChildren和HasChilden。 HasNoChildren屬性的存在表明郵箱沒有當前經過身份驗證的客戶端可訪問的後來郵箱。

在知道郵箱的文件夾結構後，客戶端可以使用SELECT命令在該文件夾上打開一個會話，以便訪問郵箱中的郵件。

當返回選中狀態時，服務器必須先將上述未標記的數據發送給客戶端，然後再向客戶端返回OK。如果選擇狀態建立成功，則稱客戶端處於選擇狀態，可以從郵箱中搜索和下載消息。

SEARCH命令在郵箱中搜索與給定搜索條件匹配的郵件。搜索條件由一個或多個搜索關鍵字組成。它可以支持更全面的搜索條件，例如查找具有指定字段名稱的標題並且在標題的文本中包含指定字符串的消息。上面的示例顯示了最簡單形式的SEARCH命令，它將搜索服務器中的所有可用消息。未標記的響應表明自定義IMAP服務器中有一條消息可用。

一些客戶端提供電子郵件消息的預覽。這可以通過使用FETCH命令僅下載消息標頭來完成。而UIDFETCH命令將下載整個電子郵件消息並將其本地存儲在客戶端應用程序中。

IMAP客戶端—服務器的狀態和流程圖

使用IMAP客戶端模糊器的可能性在現代模糊控制中，需要有一個線束與主模糊控製程序一起驅動模糊控制操作。雖然這不是強制性的WTF模糊器，一個專用的模糊器模塊是必需的。如果你有AFL/WinAFL的經驗，很多時間將花費在編寫一個有效的harness程序上，但是你將花費大部分時間開發和排除WTF模糊器模塊的故障。在內部，WTF模糊器充當模擬器，以編程方式模擬由模糊器模塊驅動的內存轉儲中的代碼。基本上，模糊器模塊的核心由函數斷點和斷點處理程序組成。這些斷點處理程序由用於不同目的的邏輯組成，例如攔截和修改目標使用的輸入數據，以及復制功能(如I/O操作、註冊表操作和線程調度)。該項目的存儲庫為模糊器開發過程提供了全面的指導方針。

首先，必須確定要模糊化的目標組件，並轉儲一個虛擬映像的快照，以供模糊化模塊使用。根據來自項目存儲庫的文檔，該快照映像通常取自感興趣的目標模塊的入口點，其中解析器例程使用輸入數據。在MicrosoftIMAP客戶端中，InternetMail.dll是實現IMAP和POP3客戶端協議的目標組件。這個DLL模塊由Windows服務宿主進程託管，也被稱為svchost.exe。

WindowsMail是與該模塊交互的前端用戶界面(UI)，用戶可以通過該界面設置IMAP帳戶，並從郵件服務器下載郵件消息。在編寫我們的IMAP客戶端模糊器模塊時，我們遇到了許多障礙，幸運的是，其中一些在項目的問題跟踪器中有部分記錄。儘管大多數障礙都是針對於你所致力於的任何目標，我們認為記錄這些挑戰和我們的工作區可能會有所幫助。

為IMAP客戶端模糊器模塊開發做準備為WTF模糊器編寫一個模糊器模塊並不是一件容易的事。這是因為我們試圖從內存轉儲中模擬代碼。在軟件模擬世界中，你不能期望模擬代碼的行為與在本機設備上執行的代碼相同。因此，要使模擬按預期工作，需要解決許多障礙。因此，在開始之前確定適當的工具來跟踪和調試模糊器模塊是至關重要的。

WTF模糊器支持兩種類型的跟踪文件，覆蓋跟踪日誌和Tenet跟踪文件。基本上，覆蓋跟踪日誌包含模擬器正在執行的每條指令的跟踪。它有助於診斷大多數模糊器模塊問題。 Tenet跟踪文件包含每條執行的指令以及每條指令操作的內存/堆棧數據。 Tenet插件只能使用一個Tenet跟踪文件。 Tenet是一款出色的跟踪記錄和回放IDAPro插件，可用於離線調試。 WTF模糊器生成的Tenet跟踪文件可以通過IDAPro回放。這樣，它允許用戶探索已執行的代碼，甚至分析讀取/寫入內存/堆棧的數據，從而使調試和故障排除模糊器模塊變得更加容易。

但是，需要注意的是，如果記錄的跟踪文件太大，插件需要很長時間來處理它。例如，一個幾千兆字節的跟踪文件很容易占據大部分主機內存，這可能無法通過IDAPro重播跟踪。作為一種解決方法，我們向WTF模糊應答器引入了一個“——trace-start -address”命令行參數，以便模糊應答器只有在到達指定地址時才開始跟踪。這個新引入的命令行參數顯著減少了跟踪文件的大小。然而，這種過濾機制的結果在某些情況下並不是很成功。我們有時仍然會得到一個大的跟踪文件，因為所關心的函數中的起始地址不是唯一的。例如，函數可能會在多個不確定的位置觸發，導致跟踪器意外觸發，這就違背了我們的目標。

經過測試，我們發現WinDbg Preview中的time - trip - debugging (TTD)特性也可以用於離線調試。 WinDbg預覽將附加一個正在運行的進程，並在目標進程中註入一個TTD專有的跟踪DLL。注入的跟踪程序DLL負責捕獲目標進程的運行時執行，並將執行的代碼保存在存儲在物理磁盤中的跟踪文件中。為了模擬這個過程，我們創建了一個簡單的IMAP服務器，它讀取以JSON格式定義的IMAP數據包，並在IMAP連接建立時將數據包發送給連接的客戶端Windows Mail。同時，WinDbg Preview被附加到Windows主機進程，用於服務記錄代碼執行情況。這種方法的缺點是每次只能手動生成一個執行跟踪。但是，TTD仍然是一個有用的特性，可以補充離線調試體驗。

為目標可執行文件生成代碼執行跟踪的替代方法

另一個用例通過比較TTD和Tenet生成的跟踪信息，利用差異調試技術對模糊器模塊產生的更多問題進行深度故障排除。儘管如此，Tenet仍然是在模糊器模塊開發過程中產生跟踪文件來調試更複雜問題的首選。

接下來我們將分享一些技巧，這些技巧可以直接從覆蓋跟踪日誌中而不是使用Tenet跟踪文件來確定一些更明顯的問題。這有望為你節省模糊器模塊開發的時間。

開發IMAP客戶端模糊器模塊WTF模糊器模塊在WTF框架之上運行。每個模糊器模塊必須實現WTF框架註冊的回調函數，然後由WTF可執行文件觸發。

IMAP包括創建、刪除和重命名郵箱、檢查新消息、永久刪除消息、設置和清除標誌以及選擇性獲取消息屬性和文本的操作。因此，為IMAP協議實施一個全面的突變策略可能會耗時。在本例中，我們只關注Windows Mail用於與IMAP服務器交互的特定IMAP命令。首先，我們將WinDbg預覽調試器附加到目標進程，以生成Windows Mail與真實的IMAP服務器(Gmail)交互的執行跟踪，以收集IMAP事務中的典型命令。清單1顯示了調試器的輸出，包括由Windows Mail客戶機發送到Gmail服務器的IMAP命令。

清單1：WindowsMail客戶端發送的調試器輸出IMAP命令

這樣我們的變異方法側重於NAMESPACE、LIST、SELECT、SEARCH和FETCH命令的IMAP響應。我們決定跳過對UIDFETCH命令的模糊測試，因為此響應處理程序涉及對本地文件系統中的消息數據庫的讀/寫。不幸的是，即使WTF默認提供了I/O子系統模擬框架，對於我們的案例來說，這個操作也無法輕鬆實現。我們認為這是一種合理的權衡，因為大多數重要的解析操作(如消息頭解析器)都在FETCH命令中進行。

IMAP數據包由此處規範定義的一系列結構化文本消息組成。因此，我們的IMAP數據包變異策略也需要具有結構感知能力。受著名的結構感知突變庫libprotobuf-mutator的啟發，我們使用JSON文件格式來存儲每個突變的IMAP響應。這個JSON文件將作為模糊器模塊的輸入測試用例。根據規範，JSON對象的關鍵組件是ResponseParams，它由IMAP客戶端將解釋的核心數據組成。儘管如此，我們的突變器將專注於從ResponseParams、ResponseStatus和ResponseType中改變數據。

清單2：示例IMAP響應輸入測試用例

本文主要講的是理論上的可能性，下一篇文章，我們會詳細介紹實踐中遇到的一些挑戰。