Sto facendo test di penetrazione di un driver sandboxing e sto cercando di rompere la sandbox. È implementato come un driver in modalità kernel. Un processo sandbox avrà:
Esistono scenari specifici che posso testare?
Ci sono delle librerie open source là fuori per testare un ambiente sandboxed?
Sarebbe bello se qualcuno potesse condividere la loro precedente esperienza con questo tipo di test.
Grazie in anticipo!
Nota: ho bisogno di testare per Windows Server 2008 R2 a 64 bit.
Ci sono due approcci, il quantitativo e il qualitativo.
Il quantitativo consiste nel confondere l'input con il driver sandboxing. Utilizza un framework fuzzing come Peach, Sulley o altro per eseguire il fuzz in input e cerca crash o operazioni sui file fuori dalla sandbox.
L'approccio qualitativo implica il reverse engineering e la comprensione del meccanismo di sandboxing. Quindi prova a combinare questa comprensione con le diverse funzionalità fornite da Windows e diversi livelli di privilegi che potrebbero avere altri componenti. La sandbox potrebbe limitare le operazioni di file e rete ma limiterà l'iniezione in un processo diverso?
Idee dello scenario:
NtWriteFile e ZwWriteFile
\Device\Harddisk4\Partition2\mydir\myfile.txt , \DosDevices\c:\path_to_file.txt , \Device\Tcp
rundll32.exe
fileinsandbox.txt:fileoutsidesandbox.txt
path\in\sandbox\..\..\..\outside.txt
%SystemRoot% , %WinDir% , %TEMP% Leggi altre domande sui tag sandbox penetration-test