QNX(Quick UNIX)是一個unix家族的實時操作系統(tǒng)，***發(fā)行于1980年，2010年被黑莓公司收購。QNX通常用于嵌入式系統(tǒng)中，在企業(yè)服務(wù)器領(lǐng)域并不常見。參考資料[1]的博客中有一些QNX安全評估和滲透測試的信息。

[[161316]]

QNX是一種商用的類Unix實時操作系統(tǒng)，遵從POSⅨ規(guī)范，目標(biāo)市場主要是嵌入式系統(tǒng)。QNX成立于1980年，是加拿大一家知名的嵌入式系統(tǒng)開發(fā)商。

QNX的應(yīng)用范圍極廣，包含了：控制保時捷跑車的音樂和媒體功能、核電站和美國陸軍無人駕駛Crusher坦克的控制系統(tǒng)，還有RIM公司的BlackBerry PlayBook平板電腦。

如果你有幸在滲透測試或研究中接觸過QNX主機(jī)，你可能會意識到/etc/shadow文件下的shadowed密碼使用了一種不常用的格式。本文中的這些經(jīng)驗?zāi)軌驇椭憷斫馄湓?，并且告訴你如何爆破這種格式的hash值。

可輸出的hash格式

QNX系統(tǒng)將/usr/bin/passwd中的二進(jìn)制以可輸出的格式生成到/etc/shadow文件中。它包含了生成和解析這些hash值的所有邏輯數(shù)據(jù)，這是逆向這個格式的***資源。

這個文件支持好幾種hash加密方法：MD5，SHA-{256,512}，以及QNX遺留的不安全加密實現(xiàn)(參見CVE-2000-0250)。他們分別命名為md5_crypt,sha2_crypt,qnx_crypt。

另外，其同時還支持解析明文密碼的plain_crypt方法，但是這個你需要手動修改/etc/shadow。 有趣的是，SHA-1支持比較老的版本，但是由于沒有鏈接庫調(diào)用路徑，所以沒有辦法使用。

QNX Neutrino 6.6.0默認(rèn)的hash方法是SHA-512，1000輪計算，并附帶16字節(jié)的鹽值(參考[2])。 用SHA-512對用戶賬號密碼附加8字節(jié)的鹽值做1000輪的計算生成的結(jié)果如下：

這是MD5和SHA-{256,512}的通用格式。QNX的hash加密方法，格式上很像傳統(tǒng)的Linux DES加密字符串。

1.Shadowed密碼文件用冒號(：)分割得到下面接個段：
2.username – 用戶名
3.@S,100@386d...truncated...da5d@129b6761 –可輸出的hash字符串(根據(jù)使用hash方法的不同而不同)
4.1448613322 – 設(shè)置密碼時產(chǎn)生的時間戳
5.0 – 未知
6.0 – 未知

面我還未找到***兩個值是用來干嘛的，但這兩個值總為0也許跟不可使用的賬戶有關(guān)。

可輸出的hash字符串又被@符號分割成下面這幾個段：

S,100 –前面表示使用的hash方法，后面表示加密計算輪數(shù)
S -- SHA-512
s -- SHA-256
m -- MD5
p – 明文密碼
386d...truncated...da5d – 使用hash方法計算出的16進(jìn)制結(jié)果
129b6761 – 16進(jìn)制鹽值

Hash密碼例子

下面所有的例子都是密碼的hash值

SHA-512加密， 1000輪， 16字節(jié)鹽值

username:@S@60653c9f515eb8480486450c82eaad67f894e2f4828b6340fa28f47b7c84cc2b8bc451e37396150a1ab282179c6fe4ca777a7c1a17511b5d83f0ce23ca28da5d@caa3cc118d2deb23:1448585812:0:0

SHA-512加密， 1000輪， 8字節(jié)鹽值

username:@S@386d4be6fe9625c014b2486d8617ccfc521566be190d8a982b93698b99e0e3e3a18464281a514d5dda3ec5581389086f42b5dde023e934221bbe2e0106674cf7@129b6761:1448585864:0:0

SHA-256加密， 1000輪，16字節(jié)鹽值

username:@s@1de2b7922fa592a0100a1b2b43ea206427cc044917bf9ad219f17c5db0af0452@36bdb8080d25f44f:1448585954:0:0

MD5加密， 1000輪， 16字節(jié)鹽值

username:@m@bde10f1a1119328c64594c52df3165cf@6e1f9a390d50a85c:1448585838:0:

內(nèi)部二進(jìn)制代碼

從QNX Neutrino 6.6.0系統(tǒng)得到的/usr/bin/passwd 二進(jìn)制并不很令人興奮。 這是一個32位的可執(zhí)行文件，沒有剪去符號表和libc,ld-linux,linux-gate的動態(tài)鏈接，能夠找到shadowed密碼文件的所有hash加密實現(xiàn)。

文件/etc/default/passwd會影響二進(jìn)制的行為，只有個QNXCRYPT指令存在于文件中時QNX加密方法才會被使用。另外一些有趣的指令，比如STRICTPASSWORD確保密碼使用至少兩個字符集、NOPASSWORDOK允許使用空白密碼。

函數(shù)gensalt使用系統(tǒng)時間初始化一個隨機(jī)算法來生成一個隨機(jī)值，如果想要深入挖掘可以使用initstate,setstate,random,srandom函數(shù)。我沒有很詳細(xì)看這幾個函數(shù)，但是聚合熵少于8字節(jié)隨機(jī)操作會失敗。 該鹽值是16進(jìn)制字符串，如果設(shè)置為16字節(jié)就是16個字符。

qnx_crypt 已經(jīng)有說明文檔，并且沒有修改。(參考文檔[3])

md5_crypt 使用函數(shù)MD5Init, MD5Update, MD5Transform。

sha2_crpyt 使用函數(shù)shaXXX_init， shaXXX_update，shaXXX_done，XXX指的是位，如512。

QNX的hash函數(shù)是按位偏移的。 Hash函數(shù)初始化之后，更新過程如下所示：

digest = update(salt), update(password) * rounds, update(password)

***一次輪數(shù)置為0時，是使用密碼來更新hash函數(shù)的。 所以摘要被計算出來的時候，1000輪的設(shè)置，其實是被計算了1001輪。 除此之外，其他都是標(biāo)準(zhǔn)的。

QNX 密碼hash值爆破

John the Ripper (即使用了jumbo補(bǔ)丁)和其他通用的工具都不支持QNX shadowed密碼的hash格式。

我嘗試用python的hashlib和passlib模塊重新實現(xiàn)hash函數(shù)的邏輯。但是我得到的輸出跟/usr/bin/passwd產(chǎn)生的二進(jìn)制結(jié)果無法匹配。 所用方法的實現(xiàn)都是一致的，所以我意識到QNX的hash函數(shù)有一些特有的實現(xiàn)。這是QNX自己實現(xiàn)的代碼，并不依賴于通用的擴(kuò)展庫， 比如OpenSSL。

我并不是加密專家所以我并沒有花很多的時間去逆向hash函數(shù)，但是我看了SHA-2的參考文檔并且似乎QNX就是按照這個方案來實現(xiàn)的。輸出的不同可能是由于他們內(nèi)部實現(xiàn)的一個奇怪的調(diào)整導(dǎo)致的。

如果你想暴力破解hash值，你可以直接在GDB調(diào)試中調(diào)用它。另一個優(yōu)雅的實現(xiàn)就是使用dlopen(3) 和dlsym(3)去從C的封裝調(diào)用這個函數(shù)。

Breakpoint 1, 0x080493c1 in main ()
(gdb) call sha2_crypt(512, "password", "abcd1234abcd1234", "1000")
$1 = 134559360
(gdb) x/s $1
0x8053680 : "@S@1030f372de34b8caac99b481d81ad9b57b923b385edcd3ed84f6721192f5238f34aba739e1d124919bd85c8efe13948593a6b691d8b41c1be5bc9b3906577f5d@abcd1234abcd1234"

參考資料：

[1] The Pentesting QNX Neutrino RTOS blog post from FishNet Security was the best information I could find on QNX for security assessments or penetration tests.

[2] The defaults can be found from the /usr/bin/passwd binary itself or in the online QNX development references.

[3] The qnx_decrypt.c code updated by SilentDream is the best reference for understanding QNX crypt hashes.