Scalpel：解构API复杂参数Fuzz的「手术刀」

Scalpel 简介

随着Web应用复杂度的提升与API接口的广泛使用，在HTTP应用漏洞Fuzz过程中，传统的「Form表单明文传参的模式」已经逐渐变为「复杂、嵌套编码的参数传递」。在此情况下，直接对参数内容进行注入或替换，无法深入底层的漏洞触发点。

漏洞检测部分，采用解析算法，深度解析流量请求中的参数，通过POC中设定的注入点和变异方式生成测试请求，发送请求之后，再通过POC中的验证规则进行成功性判断，最终输出Fuzz结果。

以下面这个JSON请求包为例，解析算法会将其转换为右边所示的树结构，无论其嵌套的层次有多深，解析算法会将其中的所有键值对都解析为一个树结构。然后可以对树中的叶子节点进行变异，也可以对树的整体结构上进行变异。在树上进行变异之后，将树按照原始的数据格式再还原回去，填充到请求报文中，形成变异的请求报文之后再发送出去。

在原始参数结构解析之后，我们可以基于树结构来设定我们的测试向量注入方式：

Scalpel扫描器支持以下漏洞检测或者挖掘场景：

4、body部分添加json形式的执行命令

为了检测到CVE-2022-1388漏洞是否存在，我们需要在发送构造的特殊请求后，识别响应中是否进行了命令执行。了解到整个检测的步骤后，开始编写漏洞POC

在Host部分变异，变异方式为替换，变异值为localhost

对Heder部分的变异，变异方式为替换，变异值为Keep-Alive,X-F5-Auth-Token

对body部分的变异，变异方式为替换，变异值为我们需要执行的命令，这里执行id命令。

最后对响应的匹配，使用正则识别id命令之后的结果。

在编辑好漏洞POC之后，运行扫描器进行检查。

在被动扫描的过程，实际获取到的数据包如下：

为发现目标是否存在文件读取漏洞，可以在多个变异位置插入或者替换payload

星阑实验室成员利用如上的类似通用检测规则，挖掘多个0day漏洞，已提交给CNVD国家信息安全共享平台并被收录。

同时发现某Apache开源项目的CVE漏洞，报告被该团队接受并正在修复，尚未披露。

GitHub地址下载地址：https://github.com/StarCrossPortal/scalpel

Scalpel支持多个平台，请根据您的平台或者需求下载相应的版本。