SAP NetWeaver缺陷檢測技術研究

婁亞南，王軼駿，薛質

(上海交通大學電子信息與電氣工程學院，上海200240)

SAP NetWeaver缺陷檢測技術研究

婁亞南，王軼駿，薛質

(上海交通大學電子信息與電氣工程學院，上海200240)

NetWeaver是SAP(System Applications and Products)系統最重要的技術應用平臺。雖然其安全策略已較為充實，但仍存在配置不當、認證缺乏、信息泄漏等缺陷，攻擊者可利用并實現用戶提權、遠程命令執行、竊取敏感數據等攻擊目的。在了解SAP架構及通信機制前提下，分析闡述了NetWeaver關鍵組件存在的缺陷及檢測手段。利用缺陷檢測技術對這些組件進行檢測，集成整合并實現自動化檢測平臺，呈現出更直觀全面的SAP系統安全性評估結果。

SAP系統;NetWeaver平臺;SOAP協議;RFC協議;缺陷檢測

0 引言

SAP是世界上最大的企業管理和協同化電子商務解決方案供應商，它提供整套的企業級應用軟件，覆蓋各行業的業務需求。SAP NetWeaver是SAP最重要的技術應用平臺，它為SAP及其合作伙伴的應用軟件提供運行環境。SAP的應用軟件具有規模大、復雜性強的特點，這對NetWeaver的安全性提出了更高的要求。雖然NetWeaver本身的安全策略已經較為充實，但研究表明[1]，攻擊者還是能夠利用其配置不當、認證缺乏、信息泄漏等缺陷對NetWeaver服務器進行攻擊。

本文在介紹SAP架構和通信機制基礎之上，重點分析了NetWeaver關鍵組件存在的缺陷，闡述了可能泄漏的敏感信息，研究了攻擊者利用這些缺陷所能實現的用戶提權、遠程命令執行、竊取敏感數據等攻擊手段。最后，設計并實現了集成化的SAP NetWeaver缺陷檢測平臺。

1 SAP NetWeaver架構及通信機制

近年來，人們對SAP平臺安全的關注度呈指數性增長。不僅是白帽子黑客，更有大型公司對SAP的攻擊表示出濃厚興趣，他們可以竊取商業機密，或者在競爭對手的基礎設施中執行DoS攻擊[2]。SAP系統既是APT攻擊的目標，也是大規模漏洞利用攻擊的目標，這是因為Internet可以訪問SAP一些存在可利用漏洞而且應用廣泛的服務。ERPSCAN[3]總結出SAP NetWeaver存在的漏洞威脅主要有:代碼注入、認證繞過、硬編碼密碼、遠程代碼執行、目錄遍歷、敏感信息明文存儲和傳輸[2]等。

盡管攻擊者對操作系統、數據庫、服務器和Web應用等十分熟悉，但是針對SAP的滲透測試還需要更深入理解SAP NetWeaver系統的架構和通信機制。NetWeaver平臺上有兩大引擎[4]:傳統的ABAP(Advanced Business Application Programming，高級企業應用編程語言)引擎，整合的J2EE引擎。外部用戶可以通過如下兩種方式與NetWeaver平臺進行通信:①使用SAP GUI客戶端;②使用瀏覽器與ICM通信。如圖1所示。

圖1 SAP NetWeaver架構

Dispatcher組件用于分發用戶請求至WP(Work Process，工作進程)或SP(Server Process，服務進程)中，WP將處理ABAP棧內用戶請求的指定任務，SP將運行Java棧內多線程應用，處理多個用戶請求。WP常見的類型有[5]:

(1)Dialog WP:滿足用戶交互的會話請求;

(2)Spool WP:發送串行數據流至打印機;

(3)Update WP:執行更新請求;

(4)Background WP:執行后臺任務的進程;

(5)Enqueue WP:管理共享內存中的lock table，防止讀寫沖突。

除了WP和SP，NetWeaver還為內外部通信提供了其他組件:

(1)Message Server:負責分布式Dispatcher之間的通信[6];

(2)Gateway:ABAP棧負責不同SAP系統、SAP系統和外部應用系統之間的通信[7];

(3)ICM(Internet Communication Manager):接收客戶端請求并轉發至對應的ABAP棧或Java棧進程處理，或向Web服務器發送請求，將響應結果轉發回SAP系統內的對應進程[8];

(4)Enqueue Service:管理Java棧內SP設置的邏輯鎖[9];

(5)SDM(Software Deployment Manager):NetWeaver Java棧安裝組件的工具[10]。

1.1 SAP與GUI客戶端的通信機制

SAP RFC(Remote Function Call，遠程功能調用)服務是調用執行ABAP或其他類型代碼的一種傳統機制，也可用于調用執行NetWeaver平臺上的其他程序[11]。SAP GUI使用應用層DIAG(Dynamic Information and Action Gateway Protocol)協議與NetWeaver通信，如圖2中a)所示，從而運行ABAP應用程序。

圖2 NetWeaver通信機制

當SAP GUI通過DIAG協議與SAP系統通信時，DIAG請求將被分發至WP工作進程中處理。DIAG協議直接影響著SAP系統的安全性，因此該協議并未開源。但是Martin Gallo[12]在“黑盒”前提下，通過和GUI交互及網絡抓包分析，實現了DIAG協議的破解技術，涵蓋DIAG請求包解壓縮、頭部字段解析、壓縮頭部解析、SID標志識別、信息字段解析、嵌入的RFC調用解析等。

1.2 SAP與瀏覽器的通信機制

相較于DIAG協議的晦澀，使用ICM與SAP系統通信顯得更加方便簡捷。ICM應用Internet協議與外界通信，包括HTTP、HTTPs和 SMTP，不需要 GUI客戶端和 DIAG協議也可以與NetWeaver通信，如圖2中 b)所示。

在Shodan[13]上搜索關鍵詞“sever:SAP NetWeaver Application Server”，可以發現NetWeaver服務器在Internet上暴露的IP地址。ICM默認使用HTTP協議，攻擊者向暴露地址的NetWeaver ICM發起SOAP(Simple Object Access Protocol，簡單對象訪問協議)請求，能夠檢測平臺是否存在可利用缺陷。

1.3 NetWeaver ICM的SOAP通信協議

NetWeaver采用支持開放的SOAP協議作為通信機制，該協議默認以明文形式傳輸數據信息，協議頭部附帶的用戶權限信息以Base64方式進行編碼，攻擊者能輕易嗅探并解析該權限信息。NetWeaver接收封裝的SOAP請求包后，調用所請求對象，并返回XML格式的請求結果。攻擊者通過構造SOAP請求包，遠程調用服務器的相關對象，并接收服務器返回結果，從而獲得服務器的敏感信息。

SOAP協議應用XML語言作為編碼格式，利用HTTP協議進行傳輸。NetWeaver接收的SOAP請求包含下列元素[14]:

(1)Envelope:標識該XML文檔為一條SOAP信息，使用標準的Envelope命名空間;

(2)Header(可選):包含頭部信息;

(3)Body:包含全部的請求和調用信息，如:請求函數及其參數、響應數據及文件等;

典型的SOAP請求、響應包的形式如下:

2 NetWeaver控制臺缺陷分析

2.1 NetWeaver MMC

NetWeaver MMC(Management Console，管理控制臺)用以監測NetWeaver運行狀態，包括:SAP系統和組件運行狀態、SAP系統警告和日志信息、網絡端口進程、SAP系統進程、ICM狀態等[15]。默認連接端口是5XX13，XX代表運行實例編號，范圍是00～99[16]。

當NetWeaver MMC端口可連接時，不需要任何認證信息，便能通過SOAP請求得到服務器的相關信息，如文獻[17－26]所述，MSF(Metasploit Framework)[27]上相應的掃描模塊可探測包括:版本、配置參數、日志列表、用戶列表、服務列表、進程列表等信息。MSF針對MMC的掃描模塊名稱及對應泄漏信息如表1所列，其中MSF模塊路徑為auxiliary/scanner/sap/，模塊公共前綴為sap＿mg mt＿con＿:

表1 NetWeaver MMC掃描模塊名稱及泄漏信息

通過 sap＿mgmt＿con＿brute＿login 模塊[28]暴力猜解 MMC 管理員賬戶之后，可將用戶名密碼Base64編碼后作為HTTP Basic Authentication頭部字段傳輸，認證通過后調用OSExcute方法就能夠遠程執行操作系統命令[29]。

2.2 SAPHostControl

SAP中監聽5XX13端口的組件名稱為“startsrv”，獨立安裝的SAP NetWeaver將額外運行一個默認監聽1128端口的sapstartsrv實例，名為“SAPHostControl”。 SAPHostControl不僅可以監控，還能接受SOAP請求。Michael Jordan[30]提出了利用SOAP請求調用GetDatabaseStatus注入命令執行任意代碼的攻擊方法，Bruno Morisson[31]提出了調用GetComputerSystem允許獲取遠程主機信息的攻擊方法。

3 NetWeaver ICM服務缺陷分析

NetWeaver ICM用于接收Web請求，ICM根據緩存或請求包URL將請求信息轉發給指定進程，進程處理后通過ICM將請求結果返回。ICM默認連接端口是80XX，XX代表運行實例的編號，范圍是 00～99。

當NetWeaver開啟RFC服務時，攻擊者可以與ICM通信，遠程連接到NetWeaver客戶端。NetWeaver存在著許多默認管理員賬戶，如果這些默認的用戶名密碼對沒有被及時修改，攻擊者可以利用已知的默認密碼對暴力登錄NetWeaver客戶端，通過RFC調用特定函數實現攻擊，包括系統信息搜集、文件目錄遍歷、遠程命令執行、用戶信息篡改、數據信息讀取等。

3.1 SAP ICF

SAP ICF(Internet Communication Framework，網絡通信框架)是ICM的組件之一。可以提供應用HTTP或HTTPs的訪問服務。若ICF的“/sap/public/info”服務開啟，則無需認證就可以探測服務器上的一些敏感信息，其中包括操作系統、數據庫、主機標識，NetWeaver版本以及IP地址等[32]。

SAP系統的SICF事務可以開啟或關閉ICF所提供的Web服務，通過收集已知SAP的常用 Web服務 URL列表，MSF模塊auxiliary/scanner/sap/sap＿icm＿urlscan可以逐一發送SOAP請求，從而掃描探測可訪問到的ICF服務。

3.2 SOAP RFC

NetWeaver ICF所提供服務“/sap/bc/soap/rfc”開啟后，會允許SOAP請求遠程執行ABAP程序及函數。這種RFC調用機制需要SAP用戶認證信息，以HTTP Basic Authentication方式加密。響應結果以明文形式傳輸，只有默認開啟HTTPs服務，通信內容才會被加密。

利用MSF模塊檢測NetWeaver SOAP RFC服務，可能進一步泄漏的信息如表2所列[33]，其中MSF模塊路徑為auxiliary/scanner/sap/，模塊公共前綴為 sap＿soap＿:

表2 NetWeaver SOAP RFC掃描模塊名稱及泄漏信息

NetWeaver默認的管理員用戶名密碼對如果沒有被及時修改，并且被攻擊者暴力破解成功，就可能給SAP系統造成更大的威脅。攻擊者利用所獲得的管理員權限，能夠達成用戶信息篡改、遠程命令執行、敏感數據讀取等攻擊目的:

1)用戶信息篡改

攻擊者一旦通過暴力破解取得管理員權限，就可以用管理員權限創建新的用戶，同時賦予該用戶以管理員權限SAP＿ALL。MSF 模塊 auxiliary/scanner/sap/sap＿soap＿bapi＿user＿create1、auxiliary/scanner/sap/sap＿soap＿rfc＿susr＿rfc＿user＿interface 調用 BAPI＿USER＿CREATE1、SUSR＿RFC＿USER＿INTERFACE 方法可以創建或修改管理員及以下權限的用戶，如圖3所示。攻擊者進而可以利用自己創建的用戶，繼續創建同等權限的用戶，或者修改其它用戶的登錄密碼等信息。

圖3 用管理員賬號創建用戶

2)遠程命令執行

攻擊者利用已取得的管理員權限，可以調用SXPG＿CALL＿SYSTEM或SXPG＿COMMAND＿EXECUTE方法來遠程執行SAP系統中SM69事務預先配置的系統命令。MSF模塊auxiliary/scanner/sap/sap＿soap＿rfc＿sxpg＿call＿system＿exec 和 auxiliary/scanner/sap/sap＿soap＿rfc＿sxpg＿command＿exec 實現了上述功能[34]，可執行的命令包括:RRR＿ROUTER＿INFO－查看SAP Router信息，PING，DBMCLI－實現代碼注入等。圖4所示是遠程調用執行RRR＿ROUTER＿INFO命令所得結果，服務器返回了 SAP Router的信息。

圖4 遠程執行RRR＿ROUTER＿INFO命令

3)敏感數據讀取

攻擊者利用已取得的管理員權限，調用RFC＿READ＿TABLE方法可以讀取數據庫內的信息。MSF模塊auxiliary/scanner/sap/sap＿soap＿rfc＿read＿table實現了數據表讀取功能，如圖 5 所示讀取用戶表USR02中的BNAME、BCODE字段信息，可以得到用戶名明文和密碼密文。

圖5 讀取用戶表USR02字段數據

3.3 SAP Web GUI暴力猜解登陸

當ICF開啟Web GUI服務后，可通過瀏覽器訪問SAP系統，具備SAP GUI客戶端功能，使用HTTP協議而非DIAG協議進行通信。 應用 MSF 模塊 auxiliary/scanner/sap/sap＿web＿gui＿brute＿login，利用已知的默認管理員密碼組合暴力猜解登錄Web GUI，一旦破解成功，則可利用所得管理員權限訪問任意數據或執行任意命令，進一步對SAP系統造成威脅。

4 NetWeaver其他缺陷分析

4.1 SAP Router代理

SAP Router是SAP框架中是非常重要的組件。盡管它獨立于SAP NetWeaver平臺，但在滲透測試和評估SAP系統時仍需要對其加以考慮，畢竟它能允許或限制SAP系統之間以及SAP系統與外界的網絡通信。

SAP Router的默認連接端口是3299，向其發送特定的請求包可返回路由表信息以及通過它連接SAP的客戶端信息[35]。我們還能通過SAP Router建立代理，探測其內部的目標主機。SAP Router代理應用的接口是SAP Network Interface(NI)，該接口可實現局域網服務器掃描、局域網SMB暴力猜解登錄等。

4.2 J2EE引擎

SAP NetWeaver不僅是ABAP應用的服務器，也是Java應用的服務器。Shodan上搜索“SAP J2EE Engine”可以發現Internet上暴露的SAP系統，其J2EE引擎也是滲透測試的目標之一。在文獻[36－37]中，Alexander Polyakov和Dmitry Chastuhin實現了對J2EE引擎的滲透，如:通過VERB篡改繞過(使用HEAD請求)攻擊ConfigServlet并創建系統賬戶;攻擊ConfigServlet后無需認證執行任意命令等。

5 SAP NetWeaver缺陷檢測平臺設計

現今，國外的 Rapid7[38]、ERPSCAN、Onapsis[39]、MWR Labs[40]等研究機構或公司相繼推出了一系列針對SAP系統的安全檢測解決方案和項目，但絕大多數是商業運作行為，不向公眾開發其核心實現代碼。此外，開源的Metasploit框架包含了一系列針對SAP的檢測模塊，但由于其各功能模塊之間過于獨立，缺乏有機無縫的整合和自動流程化的操作，無法用來開展實際的檢測業務。而國內目前基本上缺乏針對SAP系統安全性檢測的自動化平臺。

因此，本文將在之前針對SAP系統缺陷分析技術的基礎上，充分借鑒業界成熟的檢測方案，加以改進和完善，來最終設計和實現針對SAP NetWeaver的缺陷檢測平臺。該平臺能夠幫助SAP客戶及專家來檢測評估NetWeaver的安全性，探測目標系統可能泄漏的敏感信息和可利用缺陷，分析目標系統缺陷暴露后可能造成的危害，形成全面直觀的分析結果。SAP NetWeaver缺陷檢測平臺的基本架構設計如圖6所示。

圖6 缺陷檢測平臺架構

檢測平臺具體流程如下:①參數配置:用戶首先指定目標主機的IP地址范圍，其次設置檢測的SAP服務列表，最后配置日志文件路徑和其他參數;②缺陷檢測:檢測平臺將完成主機檢測、服務檢測、信息收集和提權檢測等工作;③數據處理:系統對檢測數據進行過濾、解析、存儲工作，最后將分析結果讀取并顯示至用戶平臺。

5.1 用戶交互模塊

用戶交互模塊負責實現用戶與檢測平臺的交互功能。用戶能夠在交互頁面中進行檢測流程相關參數配置，包括主機IP地址范圍、服務范圍、端口范圍、日志路徑等參數。

用戶可以在流程中實時監控檢測結果，包括:

(1)主機信息:操作系統版本、數據庫版本、NetWeaver版本、SID等信息;

(2)服務信息:MMC、SOAP RFC、ICF、SAP Router、J2EE 服務開啟狀態和端口信息;

(3)日志信息:檢測平臺向目標主機發送SOAP請求后將獲得響應數據，平臺經過解析處理后顯示的可讀信息;

(4)提權信息:檢測平臺向目標主機發起提權操作的響應結果，如默認管理員脆弱性、遠程代碼可執行性、敏感數據可獲得性等。

5.2 檢測功能模塊

檢測功能模塊基于前文所述NetWeaver缺陷檢測技術，將完成對目標主機自動化檢測的流程。該模塊通過HTTP/SOAP請求與目標主機通信，接收經過處理的用戶輸入參數，將所得SOAP響應數據及時反饋至數據分析模塊，以便后期分析、存儲和顯示。檢測功能模塊的工作流程如下:

(1)主機檢測:檢測指定IP地址范圍內的主機狀態及可訪問性;

(2)服務檢測:檢測目標主機的開啟服務，發送SOAP請求至服務監聽端口，通過端口返回信息判斷服務可用性，檢測的服務包括MMC管理控制臺、SOAP RFC服務、ICF服務及其子服務、SAP Router、J2EE 引擎等;

(3)信息收集:收集目標主機開啟服務的可訪問信息，包括版本及配置信息、系統日志及開發者跟蹤日志、用戶賬戶信息、進程及配置參數信息、文件目錄信息、默認管理員暴力登錄信息等;

(4)提權檢測:若默認管理員可暴力登陸，則進行下一步提權檢測，如用戶信息篡改權限、遠程代碼注入權限、敏感數據讀寫權限。一旦檢測到系統存在可提權的缺陷，將立即向用戶發出警告，提示該缺陷可能造成的危害及改進措施。

5.3 數據分析模塊

數據分析模塊負責處理用戶輸入的參數，解析并傳入檢測功能模塊中，及時接收檢測功能模塊返回的結果(通常為XML格式)，進行如下操作:

(1)過濾:過濾返回數據中的無效冗余信息;

(2)解析:將返回的XML格式數據進行解析，映射字段和數據的關系;

(3)存儲:將所檢測信息進行分類存儲，方便日后讀取和分析工作;

(4)顯示:對檢測數據進行可視化處理，返回至用戶界面中顯示。

如圖7所示為平臺實驗顯示結果，其中a)為用戶配置信息，b)為目標主機檢測的基本信息，c)為目標主機開啟的服務列表。

圖7 平臺檢測結果

如圖8所示為實驗中NetWeaver控制臺檢測結果，圖9所示為實驗中ICM服務檢測結果。

圖8 NetWeaver控制臺檢測結果

圖9 ICM服務檢測結果

6 結語

NetWeaver對SAP產品應用起著至關重要的作用，其安全性更是首要關注的重點。然而，由于它缺乏身份認證檢查，導致管理員權限可以被暴力猜解;存在不安全配置項，導致攻擊者利用管理員權限可以進一步提升權限;對敏感信息明文存儲和傳輸，導致攻擊者能夠收集到有利于攻擊的敏感信息，從而為執行遠程命令、讀取敏感數據做鋪墊。

現今，國外已經出現SAP系統安全性測試解決方案，絕大部分由于其商用性并未開源。反觀國內，目前仍缺乏檢測SAP系統缺陷的成熟方案，因此我們設計并實現了SAP NetWeaver缺陷檢測自動化平臺。該平臺指導SAP客戶及專家進行簡單配置，進而對目標服務器進行缺陷檢測，最終呈現出直觀的SAP系統安全性評估結果。

雖然SAP不斷提高著自身安全性，但攻擊者仍在挖掘著更隱蔽的漏洞威脅。隨著攻防技術的迅猛發展，SAP NetWeaver的安全性仍然面臨著諸多挑戰。因此，我們需要更深入研究SAP系統及其缺陷檢測技術手段，從而將SAP安全性評估技術提升至更高層面。

[1] Alexander Polyakov.ERP Security－Myths，Problems，Solutions[EB/OL].[2016－04－27].https://erpscan.com/wpcontent/uploads/presentations/ERP－Security－Myths－Problems－Solutions－2010－SourceBarcelona.pdf.

[2] Alexander Polyakov，Alexey Tyurin.SAP Security in Figures:A Global Survey 2013[EB/OL].[2016－04－27].https://erpscan.com/wp－content/uploads/publications/SAP－Security－in－figures－A－global－survey－2013－RC.pdf.

[3] ERPSCAN.https://www.erpscan.com/.

[4] Architecture of the SAP NetWeaver Application Server[EB/OL].SAP，(2008－03－09)[2016－04－27].http://www.sdn.sap.com/irj/scn/go/portal/prtroot/docs/library/uuid/c0832936－8e5c－2b10－b3ab－e1b3473efb7d?QuickLink ＝ index＆overridelayout ＝ true＆32220844 675114.

[5] Work Process[EB/OL].[2016－04－27].http://help.sap.com/saphelp＿nw70/helpdata/en/05/0e41e6ba5911d188b200 00e83539c3/frameset.htm.

[6] Monitoring and Administration of the SAP Message Server[EB/OL].[2016－04－27].http://help.sap.com/saphelp＿nw70/helpdata/en/40/c235c15ab7468bb31599cc759179ef/frameset.htm.

[7] SAP Gateway[EB/OL].[2016－04－27].http://help.sap.com/saphelp＿nw70/helpdata/en/25/90d038f58f863de100000 00a11402f/frameset.htm.

[8] Internet Communication Manager(ICM)[EB/OL].[2016－04－27].http://help.sap.com/saphelp＿nw70/helpdata/en/0a/a7903febb15a7be10000000a11405a/frameset.htm.

[9] Enqueue Service[EB/OL].[2016－04－27].http://help.sap.com/saphelp＿nw70/helpdata/en/f4/670f9b9d62f94db4ea7361 b34ea214/content.htm.

[10] Software Deployment Manager[EB/OL].[2016－04－27].http://help.sap.com/saphelp＿nw70/helpdata/en/22/a7663bb3808c1fe10000000a114084/frameset.htm.

[11] RFC Scenarios[EB/OL].[2016－04－27].http://help.sap.com/saphelp＿nw70/helpdata/en/80/b711d7d6d03d4a956f16 bb854a186e/frameset.htm.

[12] Martin Gallo.Uncovering SAP Vulnerabilities:Reversing and Breaking the DIAG Protocol[EB/OL].(2012－07－20)[2016－04－27].http://www.coresecurity.com/system/files/corelabs－Slides－reversing－breaking－diag－protocol.pdf.

[13] Shodan.https://www.shodan.io/.

[14] Structure of a SOAP Message[EB/OL].[2016－04－27].http://help.sap.com/saphelp＿nw70/helpdata/en/f6/86d63b9586105ae10000000a114084/frameset.htm.

[15] SAP Management Console[EB/OL].[2016－04－27].http://help.sap.com/saphelp＿nw70/helpdata/en/48/6b7bd778dc4f93e10000000a42189d/content.htm.

[16] TCP/IP Ports Used by SAP Applications[EB/OL].(2009－04－09)[2016－04－27].http://www.sdn.sap.com/irj/scn/go/portal/prtroot/docs/library/uuid/4e515a43－0e01－0010－2da1－9bcc452c280b?QuickLink ＝ index＆overridelayout＝true＆42472931642836.

[17] Chris John Riley.sap＿mgmt＿con＿version[EB/OL].(2011－03－02)[2016－04－27].https://blog.c22.cc/toolsscripts/metasploit－modules/sap＿mgmt＿con＿version/.

[18] Chris John Riley.sap＿mgmt＿con＿startprofile[EB/OL].(2011－03－02)[2016－04－27].https://blog.c22.cc/toolsscripts/metasploit－modules/sap＿mgmt＿con＿startprofile/.

[19] Chris John Riley.sap＿mgmt＿con＿instance properties[EB/OL].(2011－03－02)[2016－04－27].https://blog.c22.cc/toolsscripts/metasploit－modules/sap＿mgmt＿con＿instanceproperties/.

[20] Chris John Riley.sap＿mgmt＿con＿getenv[EB/OL].(2011－03－02)[2016－04－27].https://blog.c22.cc/toolsscripts/metasploit－modules/sap＿mgmt＿con＿getenv/.

[21] Chris John Riley.sap＿mgmt＿con＿abaplog[EB/OL].(2011－03－02)[2016－04－27].https://blog.c22.cc/toolsscripts/metasploit－modules/sap＿mgmt＿con＿abaplog/.

[22] Chris John Riley.sap＿mgmt＿con＿listlogfiles[EB/OL].(2011－03－02)[2016－04－27].https://blog.c22.cc/toolsscripts/metasploit－modules/sap＿mgmt＿con＿listlogfiles/.

[23] Chris John Riley.sap＿mgmt＿con＿getlogfiles[EB/OL].(2011－03－02)[2016－04－27].https://blog.c22.cc/toolsscripts/metasploit－modules/sap＿mgmt＿con＿getlogfiles/.

[24] Chris John Riley.sap＿mgmt＿con＿extractusers[EB/OL].(2011－03－02)[2016－04－27].https://blog.c22.cc/toolsscripts/metasploit－modules/sap＿mgmt＿con＿extractusers/.

[25] Chris John Riley.sap＿mgmt＿con＿getprocess parameter[EB/OL].(2011－03－02)[2016－04－27].https://blog.c22.cc/toolsscripts/metasploit－modules/sap＿mgmt＿con＿getprocessparameter/.

[26] Chris John Riley.sap＿mgmt＿con＿getaccesspoints[EB/OL].(2011－03－02)[2016－04－27].https://blog.c22.cc/toolsscripts/metasploit－modules/sap＿mgmt＿con＿getaccesspoints/.

[27] Metasploit.https://www.metasploit.com/.

[28] Chris John Riley.sap＿mgmt＿con＿brute[EB/OL].(2011－03－02)[2016－04－27].https://blog.c22.cc/toolsscripts/metasploit－modules/sap＿mgmt＿con＿brute/.

[29] Chris John Riley.sap＿mgmt＿con＿osexecute[EB/OL].(2011－03－02)[2016－04－27].https://blog.c22.cc/toolsscripts/metasploit－modules/sap＿mgmt＿con＿osexecute/.

[30] Michael Jordan.SAP Parameter Injection－No Space for Arguments[EB/OL].(2012－08－14)[2016－04－27].http://www.contextis.com/resources/blog/sap－parameter－injection－no－space－arguments/.

[31] Bruno Morisson.sap＿hostctrl＿getcomputersystem[EB/OL].(2013－07－11)[2016－04－27].https://github.com/morisson/metasploit－modules/blob/master/sap＿hostctrl＿getcomputersystem.rb.

[32] Chris John Riley.Further Attacks to SAP Web Applications[EB/OL].(2011－11－18)[2016－04－27].https://blog.c22.cc/2011/11/18/deepsec－your－crown－jewels－online－further－attacks－to－sap－web－applications/.

[33] MWR Labs.MWR SAP Metasploit Modules[EB/OL].(2012－04－27)[2016－04－27].https://labs.mwrinfosecurity.com/blog/mwr－sap－metasploit－modules/.

[34] MWR Labs.SAP Parameter Injection[EB/OL].(2012－09－03)[2016－04－27].https://labs.mwrinfosecurity.com/blog/sap－parameter－injection/.

[35] Mariano Nunez.The SAProuter.An Internet Window to your SAP Platform(and beyond)[EB/OL].[2016－04－27].http://conference.hitb.org/hitbsecconf2010ams/materials/D2T2%20－%20Mariano%20Nunez%20Di%20Croce%20－%20 SAProuter%20.pdf.

[36] Alexander Polyakov.Crushing SAP’s J2EE Engine[EB/OL].[2016－04－27].https://erpscan.com/wp－content/uploads/2012/07/A－crushing－blow－at－the－heart－of－SAP%E2%80%99s－J2EE－Engine－＿HackerHalted.pdf.

[37] Alexander Polyakov，Dmitry Chastuhin.Breaking SAP Portal[EB/OL].[2016－04－27].https://erpscan.com/wp－content/uploads/presentations/2012－DeepSec－Breaking－SAPPortal.pdf.

[38] Rapid7.https://www.rapid7.com/.

[39] Onapsis.http://www.onapsis.com/.

[40] MWR Labs.https://labs.mwrinfosecurity.com/.

Defect Detecting Technique of SAP NetWeaver

LOU Ya－nan，WANG Yi－jun，XUE Zhi
(School of Electronic，Information and Electrical Engineering，Shanghai Jiaotong University，Shanghai 200240，China)

NetWeaver is the most important technical application platform of SAP(System Applications and Products)systems.Although its security policies are substantial，some deficiencies still exist，such as misconfiguration，lack of authentication，information disclosure and so on.Thus，the hacker could be able to get full privileges，execute remote commands and steal sensitive data.With the knowing of SAP architecture and communication mechanism，deficiencies of NetWeaver are analyzed and detecting techniques also discribed.In addition，the modules are detected with this defect－detecting technique，and an automatic detecting platform is integrated and implemented，thus to provide a visualized and comprehensive security evaluation of SAP systems.

SAP system;NetWeaver platform;SOAP protocol;RFC protocol;defect detection

TP309 [文獻標志碼]A [文章編號]1009－8054(2016)07－0077－07

2016－02－26

中國電子科技集團公司第二十八研究所科研基金資助項目(No.15GFH－DZ11－082)

婁亞南(1992—)，女，碩士研究生，主要研究方向為Web攻防及滲透測試;

王軼駿(1980—)，男，碩士，講師，主要研究方向為網絡攻防及系統安全;

薛 質(1971—)，男，博士，教授，主要研究方向為計算機通信網及信息安全。