CA S E NT L E S AP I N - SSTIC · ca s e nt l e s ap i n ! v oya ge d a n s l e mon d e d e l a rec...

CA SENT LE SAPIN !CA SENT LE SAPIN !VOYAGE DANS LE MONDE DE LA RECHERCHE EN SÉCURITÉ SAPVOYAGE DANS LE MONDE DE LA RECHERCHE EN SÉCURITÉ SAP

Yvan GENUER, Alexandre BOLLE REDDAT

SOMMAIRESOMMAIRESAP ?SAP IGS ?Protocole IGSOutilsADM:INSTALLVulnérabilitésConclusion

SAP ?SAP ?

https://www.sap.com/corporate/en/company.html

SAP ?SAP ?

ARCHITECTURE D'UN SYSTÈME SAPARCHITECTURE D'UN SYSTÈME SAP

VOCABULAIRE SAPVOCABULAIRE SAPSID SAP système identi�ant (3 char)

<sid>adm Utilisateur administrateur (bobadm,prdadm, d01adm, etc)

Numéro desystem SAP

Un identi�ant sur deux chiffres. SN =05, port = 3205, 3305, 3605, etc.

VOCABULAIRE SAPVOCABULAIRE SAPABAP Advanced Business Application

Programing

Report Programme ABAP

Modulefonction

Fonction ABAP

Transaction Alias permettant de lancer uneséquence de report (SU01, SM21,SIGS, etc)

LES CONCEPTS WTF...LES CONCEPTS WTF...Les services SAP tournent sur sidadmLe kernel SAP = ensemble de binaires sur l'OSCode source ABAP = dans la base de données

compatibilité...... du coup accessible!

Tout système SAP possède un environnement dedéveloppement

A QUOI IL SERT ?A QUOI IL SERT ?SAP Internet Graphics Services

ARCHITECTURE DU SERVICE SAP IGSARCHITECTURE DU SERVICE SAP IGS

4<SN>00 RFC Listener

4<SN>80 HTTP Listener

4<SN>01 Portwatcher 1

4<SN>02 Portwatcher 2

bobadm@sapbob:~# ss -lntp | grep igs LISTEN 0 128 *:40000 *:* users:(("igsmux_mt",pid=42225,fd=9)LISTEN 0 20 *:40001 *:* users:(("igspw_mt",pid=42226,fd=7)) LISTEN 0 20 *:40002 *:* users:(("igspw_mt",pid=42227,fd=7)) LISTEN 0 128 *:40080 *:* users:(("igsmux_mt",pid=42225,fd=6)

ARCHITECTURE DU SERVICE SAP IGSARCHITECTURE DU SERVICE SAP IGSroot@sapbob:~# pstree -a ... ├─sapstart pf=/usr/sap/BOB/SYS/profile/BOB_D00_sapbob │ ├─BOB_00_DP pf=/usr/sap/BOB/SYS/profile/BOB_D00_sapbob │ │ ├─BOB_00_BTC_W5 pf=/usr/sap/BOB/SYS/profile/BOB_D00_sapb │ │ ... │ │ └─{BOB_00_DP} │ └─ig.sapBOB_D00 -mode=profile pf=/usr/sap/BOB/SYS/profile/BO │ ├─igsmux_mt -mode=profile -restartcount=0 -wdpid=40722 p │ │ └─19*[{igsmux_mt}] │ ├─igspw_mt -mode=profile -no=0 -restartcount=0 -wdpid=40 │ │ └─15*[{igspw_mt}] │ └─igspw_mt -mode=profile -no=1 -restartcount=0 -wdpid=30 │ └─15*[{igspw_mt}]

ARCHITECTURE DU SERVICE SAP IGSARCHITECTURE DU SERVICE SAP IGS

PROTOCOLE IGS : TESTPROTOCOLE IGS : TEST

PROTOCOLE IGS : TESTPROTOCOLE IGS : TESTDécouverte des sockets internes

/tmp/.sapstream40000 /tmp/.sapstream40001 /tmp/.sapstream40002

PROTOCOLE IGS : TESTPROTOCOLE IGS : TEST

PROTOCOLE IGS : BINAIRESPROTOCOLE IGS : BINAIRESBinaires du kernel SAP associés à l'IGS

igsmux_mt Multiplexer igspw_mt Portwatcher bwgis.so Library for BWGIS interpreter bwgis_c.so Library for BWGIS interpreter gfwchart.so Library for CHART interpreter gfwchart_c.so Library for CHART interpreter imgconv.so Library for IMGCONV interpreter rspoconnector.so Library for RSPOCONNECTOR interpreter sgxgis.so Library for SAPIGSXML interpreter xmlchart.so Library for XMLCHART interpreter xmlchart_c.so Library for XMLCHART interpreter zipper.so Library for ZIPPER interpreter

PROTOCOLE IGS : BINAIRESPROTOCOLE IGS : BINAIRESroot@sapbob:/sapmnt/BOB/exe/uc/linuxx86_64# file igsmux_mt igsmux_mt: ELF 64-bit LSB executable, x86-64, version 1 (SYSV), dynamically linked, interpreter /lib64/ld-linux-x86-64.so.2, for GNU/Linux 2.6.4, BuildID[sha1]=d800fb09cf0729672a6993557126871not stripped

PROTOCOLE IGS : RÉSULTATSPROTOCOLE IGS : RÉSULTATS

PROTOCOLE IGS : RÉSULTATSPROTOCOLE IGS : RÉSULTATSTout est en clair

PROTOCOLE IGS : RÉSULTATSPROTOCOLE IGS : RÉSULTATSRécupération des noms des fonctions d'administration

1: "ADM:REGPW", # Register a PortWatcher 2: "ADM:UNREGPW", # Unregsiter a PortWatcher 3: "ADM:REGIP", # Register an Interpreter 4: "ADM:UNREGIP", # Unregsiter an Interpreter 5: "ADM:FREEIP", # Inform than Interpreter is free 6: "ADM:ILLBEBACK", # Call back function 7: "ADM:ABORT", # Abort Interpreter work 8: "ADM:PING", # Ping receive 9: "ADM:PONG", # Ping send 10: "ADM:SHUTDOWNIGS", # Shutdown IGS 11: "ADM:SHUTDOWNPW", # Shutdown PortWatcher 12: "ADM:CHECKCONSUMER", # Check Portwatcher status

PROTOCOLE IGS : RÉSULTATSPROTOCOLE IGS : RÉSULTATSRécupération des noms des fonctions d'administration

13: "ADM:FREECONSUMER", # Inform than portwather is free 14: "ADM:GETLOGFILE", # Display log file 15: "ADM:GETCONFIGFILE", # Display configfile 16: "ADM:GETDUMP", # Display dump file 17: "ADM:DELETEDUMP", # Delete dump file 18: "ADM:INSTALL", # ??? 19: "ADM:SWITCH", # Switch trace log level 20: "ADM:GETVERSION", # Get IGS Version 21: "ADM:STATUS", # Display IGS Status 22: "ADM:STATISTIC", # old Display IGS Statistic 23: "ADM:STATISTICNEW", # Display IGS Statistic 24: "ADM:GETSTATCHART", # Get IGS Statistic chart 25: "ADM:SIM", # Simulation function

PROTOCOLE IGS : RÉSULTATSPROTOCOLE IGS : RÉSULTATSPas de mécanisme d'authenti�cation...

OUTILS : PYSAPOUTILS : PYSAPLibrairie python

Utilisant scapy

SAP NI, SAP MS, SAP ENQ, ...

... SAP IGS

OUTILS : PYSAPOUTILS : PYSAP

OUTILS : SAP-DISSECTIONOUTILS : SAP-DISSECTIONPlugin wireshark

SAP NI, SAP MS, SAP ENQ, ...

... SAP IGS

OUTILS : SAP-DISSECTIONOUTILS : SAP-DISSECTION

ADM:INSTALL : POURQUOI ?ADM:INSTALL : POURQUOI ?A cause de son nom...Trouvé dans le binaire, mais n'apparait jamais dansnos captures réseaux

ADM:INSTALL : RECHERCHE D'INFORMATIONADM:INSTALL : RECHERCHE D'INFORMATION

ADM:INSTALL : RECHERCHE D'INFORMATIONADM:INSTALL : RECHERCHE D'INFORMATIONRecherche du pattern "ADM:INSTALL" dans tout lecode ABAP30.000 programmes... 1 occurence !

ADM:INSTALL : SAPMAP_INSTALL_SHAPEFILESADM:INSTALL : SAPMAP_INSTALL_SHAPEFILES

ADM:INSTALL : SAPMAP_INSTALL_SHAPEFILESADM:INSTALL : SAPMAP_INSTALL_SHAPEFILESVéri�e s'il y a des shape�les manquants sur l'IGSSi oui il upload les shape�les via la fonction nomméeadm:installADM:INSTALL = installation de nouveaux shape�les

ADM:INSTALL : SAPMAP_INSTALL_SHAPEFILESADM:INSTALL : SAPMAP_INSTALL_SHAPEFILES"On peut peut-être envoyer autre chose qu'un shape�le

ADM:INSTALL : SAPMAP_INSTALL_SHAPEFILESADM:INSTALL : SAPMAP_INSTALL_SHAPEFILESCode un peu compliquéBeaucoup d'appels à d'autres fonctionsFailed si on essaye de l'exécuter...

ADM:INSTALL : DEBUGGER ABAPADM:INSTALL : DEBUGGER ABAPUn système SAP fourni en standard unenvironnement de développementDonc avec un debugger...

ADM:INSTALL : PACKET IGSADM:INSTALL : PACKET IGS

ADM:INSTALL : PACKET IGSADM:INSTALL : PACKET IGSSi nous renvoyons ce packet sur le port 40000Les �chiers shape�les sont aussi créés...... a distance, sans être authenti�é sur SAP

VULNÉRABILITÉS : TÉLÉDÉCHARGEMENT DE FICHIERSVULNÉRABILITÉS : TÉLÉDÉCHARGEMENT DE FICHIERS2615635 - [CVE-2018-2420] Unrestricted File Upload

in SAP Internet Graphics Server (IGS)

igs/pw/install = disable

VULNÉRABILITÉS : DÉNI DE SERVICEVULNÉRABILITÉS : DÉNI DE SERVICE2616599 - [CVE-2018-2421] Denial of Service in SAP

Internet Graphics Server (IGS) Portwatcher

CONCLUSIONCONCLUSIONPropriétaire != sécuriséPas si compliqué que çaReverse, network, ABAP, python, web...

SAP IGS online help

SAP Security notes , , ,

gdb peda

SAP-Dissection

Devoteam

Onapsis

https://www.sap.com/corporate/en/company.html

IGS SAP Help

2525222 2538829 2615635 2616599

https://github.com/longld/peda

https://github.com/CoreSecurity/pysap

https://github.com/CoreSecurity/SAP-Dissection-plug-in-for-Wireshark

https://www.cert-devoteam.fr/

https://www.onapsis.com

MERCI !MERCI !ygenuer [ \x40 ] onapsis.com

alexandre.bolle.reddat [ \x40 ] devoteam.com

CA S E NT L E S AP I N - SSTIC · ca s e nt l e s ap i n ! v oya ge d a n s l e mon d e d e l a rec...

Documents

ENTRÉES-STARTERS · L A T E R R A S S E D E S F L A N D R E S T h i n s t r i p s o f c h i c k e n f i l l e t w i t h m u s h r o o m s. L A T E R R A S S E D E S F L A N D R E

L i c e n c e L an gu e s L i tté r atu re s e t C i vi l

Froid industriel - Sammode - Catalogue Froid... · Éclairage en froid industriel éclairage spécialisé SWENGER s. de l 3 2 l e e l L ’ s s l ’ s s n .: • s • s • 8! 2!

S O C I É T É D E L ' A U T I S M E D E L A V A L D E L A V A L … · S o u t e n i r m o n e n f a n t p r é s e n t a n t u n T S A d è s l e s p r e m i e r s s i g n e s

A N A L Y S E D E L A P R E S S E - tusiad.org

S O C I A L E S D E S A N T É D E S I N É G A L I T É S L

L A B A T A I L L E D E S L I V R E S

P Y LÔ N E S E N L A M E L L É - C O L L É · 2018-01-03 · ... s p é c i a l i s é e d a n s l e s e c t e u r d ’a c t i v i t é d e l a c o n s t r u c t i o ... n e s

« L e p è r e e t l e fi l s : d e s c or p s e t d e s vi

L e S e c o n d S o u f f l e - Free

L i s te d e s ma n u e l s , l i v r e s e t c a h i e r ...€¦ · Ma n u e l s s c o l a i r e s e t c a h i e r s d ’ a c ti v i té à l a c h a r g e d e s fa mi l l e s

M E D I C A M E N T S E S S E N T I E L S : L E P O I N Tapps.who.int/medicinedocs/pdf/s2247f/s2247f.pdf2 M E D I C A M E N T S E S S E N T I E L S : L E P O I N T Le Point No 27,

Synthèse des connaissances de technologieetab.ac-poitiers.fr/coll-chauvigny/IMG/pdf/les_essentielles_pour... · C y c l e 4: L e s e s s e n t i e l l e s Ces quelques diapositives

Avec le crayon rouge absolument T o u s l e s b u l l e t i n s s e r o n t - i l s p r i s e n c o m p t e ?

L i b r e s e n s e m b l e - fetedelaterre.fr

Samedi 3 août - Jardiner" Ses Passions · s a l l e 1 s a l l e 2 s a l l e 3 s a l l e 4 ( p r o j e ct i o n ) e xt 1 e xt 2 e xt 3 e xt 4 e xt 5 . 1 e xt 5 . 2 e xt 6 vÉronique

L A S E N E G A Z E L L E

l e s s i s-Tré PLESSIS

L E S - ifef.francophonie.org

Saint-Bruno - Laval...B o ul. d e s Oi s e a u x A v i l a-D e s r o c h e s P i e r r e - V i l l e r a y S a nt e r r e S a n t e u i l S a l o i s d ' O b e r n a i O l i v i e