performing-thick-client-application-penetration-test

执行厚客户端应用程序渗透测试

概述

厚客户端（胖客户端）渗透测试评估在用户计算机本地运行并与后端服务器通信的桌面应用程序的安全性。与 Web 应用不同，厚客户端具有更广泛的攻击面，包括本地文件存储、二进制分析、内存操控、DLL 注入、进程拦截和客户端-服务器通信。常见测试目标包括银行应用、ERP 客户端（SAP GUI）、交易平台、医疗系统和传统企业软件。

前置条件

• 应用程序安装包和有效凭据
• Windows/Linux 测试机（隔离环境）
• 工具：dnSpy、Procmon、Process Hacker、Wireshark、Burp Suite、Echo Mirage、Fiddler、IDA Pro/Ghidra
• 测试机的管理员访问权限

阶段一：信息收集

静态分析

# 识别应用程序技术
# 检查文件属性、签名、框架（.NET、Java、C++、Electron）
file application.exe
# .NET -> dnSpy, JetBrains dotPeek
# Java -> JD-GUI, JADX
# C/C++ -> Ghidra, IDA Pro
# Electron -> 提取 asar 归档

# 检查 .NET 框架
Get-ChildItem -Path "C:\Program Files\TargetApp" -Recurse -Filter "*.dll" |
  ForEach-Object { [System.Reflection.AssemblyName]::GetAssemblyName($_.FullName).FullName }

# 字符串分析
strings application.exe | findstr -i "password\|secret\|api\|key\|token\|jdbc\|connection"

# 检查硬编码凭据
strings application.exe | findstr -i "username\|user=\|pass=\|pwd=\|admin"

# 检查配置文件
type "C:\Program Files\TargetApp\app.config"
type "C:\Program Files\TargetApp\settings.xml"
type "%APPDATA%\TargetApp\config.json"

# 检查证书锁定
strings application.exe | findstr -i "cert\|pin\|ssl\|tls"

使用 dnSpy 反编译 .NET 程序

# 在 dnSpy 中打开应用程序
1. 启动 dnSpy
2. 文件 > 打开 > 选择 application.exe 和相关 DLL
3. 搜索：
   - "password"、"secret"、"connectionString"
   - 认证方法
   - 加密/解密函数
   - API 端点和密钥
   - 授权验证逻辑

# 关注：
- 源代码中的硬编码凭据
- 不安全的加密（DES、MD5、Base64"加密"）
- SQL 查询（潜在注入）
- 禁用的证书验证
- 包含敏感数据的调试/详细日志

阶段二：动态分析

进程监控

# 使用 Procmon 监控文件系统活动
# 过滤器：
#   进程名称 = application.exe
#   操作 = CreateFile, WriteFile, ReadFile, RegSetValue

# 关键观察点：
# - 应用在哪里存储数据？（AppData、临时目录、注册表）
# - 是否将凭据写入磁盘？
# - 是否创建包含敏感数据的临时文件？
# - 访问哪些注册表键？

# 使用 Process Hacker 监控
# 检查：已加载 DLL、网络连接、句柄、令牌

# 监控网络流量
# Wireshark 过滤器：ip.addr == <server_ip>
# 检查：未加密凭据、API 密钥、令牌

流量拦截

# 使用 Burp Suite 拦截 HTTP/HTTPS 流量
# 配置系统代理：127.0.0.1:8080
# 在 Windows 证书存储中安装 Burp CA 证书

# 对非 HTTP 协议，使用 Echo Mirage
# 注入进程并拦截 TCP/UDP 流量

# 对带证书锁定的 HTTPS：
# 方法 1：在 dnSpy 中修补证书验证
# 方法 2：使用 Frida 挂钩 SSL 验证
frida -l bypass_ssl_pinning.js -f application.exe

# 对 .NET 应用使用 Fiddler
# 启用 HTTPS 解密
# 监控 API 调用、请求/响应体

阶段三：漏洞测试

认证绕过

# 测试本地认证绕过
1. 打开 dnSpy，找到认证方法
2. 在凭据验证处设置断点
3. 修改返回值绕过（调试 > 设置下一语句）
4. 或：修补二进制文件使其始终返回 true

# 测试凭据存储
# 检查：注册表、配置文件、SQLite 数据库、Windows 凭据管理器
reg query "HKCU\Software\TargetApp" /s
type "%APPDATA%\TargetApp\user.db"
# SQLite: sqlite3 user.db ".dump"

DLL 劫持

# 识别 DLL 搜索顺序漏洞
# 使用 Procmon 查找从可写路径加载的 DLL
# 过滤器：结果 = NAME NOT FOUND，路径以 .dll 结尾

# 创建恶意 DLL
# msfvenom -p windows/exec CMD=calc.exe -f dll -o hijacked.dll
# 放置在应用目录或可写 PATH 目录中

# DLL 侧载（Sideloading）
# 若应用不使用完整路径加载 DLL：
# 1. 创建具有相同导出函数的 DLL
# 2. 放置在应用目录中
# 3. 恶意 DLL 先于合法版本加载

内存分析

# 转储进程内存
# 使用 Process Hacker > 进程 > 属性 > 内存
# 搜索明文凭据、令牌、会话 ID

# 从内存转储提取字符串
strings process_dump.dmp | findstr -i "password\|token\|session\|bearer"

# 修改内存值（授权绕过、权限提升）
# 使用 Cheat Engine 或 x64dbg：
# 1. 找到授权变量的内存地址
# 2. 修改值（如：isAdmin = 0 -> isAdmin = 1）

输入验证

# 本地数据库中的 SQL 注入
# 测试输入字段：' OR 1=1--
# 若应用使用本地 SQLite/SQL Server Express

# 命令注入
# 测试与操作系统交互的字段：
# 文件路径：..\..\..\..\windows\system32\cmd.exe
# 打印/导出：| calc.exe

# 缓冲区溢出
# 向文本字段发送超长输入
# 使用 x64dbg 监控崩溃
# 检查基于 SEH 或基于栈的溢出

阶段四：API 安全测试

# 捕获厚客户端的 API 调用
# 在 Burp Suite 中分析：

# IDOR（不安全直接对象引用）
# 修改请求中的用户 ID 以访问其他用户数据
# GET /api/users/1001 -> GET /api/users/1002

# 授权绕过
# 删除或修改 JWT 令牌
# 测试角色提升：将角色声明从 "user" 修改为 "admin"

# 批量赋值（Mass Assignment）
# 向 API 请求添加额外参数
# POST /api/profile {"name": "test", "isAdmin": true}

# 速率限制
# 测试登录 API 的暴力破解保护
# 测试账户锁定绕过

发现模板

发现项	严重性	CVSS	修复建议
二进制文件中的硬编码数据库凭据	严重	9.1	使用安全凭据存储（DPAPI、密钥保管库）
通过可写应用目录的 DLL 劫持	高危	7.8	使用完整 DLL 路径，验证 DLL 签名
内存中的明文凭据	高危	7.5	使用后清零内存，使用 SecureString
无证书锁定	中危	6.5	实施证书锁定
本地 SQLite 数据库存储明文密码	严重	9.0	使用 bcrypt/Argon2 哈希
代码中禁用 SSL 验证	高危	8.1	启用正确的证书验证

参考资料

• dnSpy: https://github.com/dnSpy/dnSpy
• Procmon: https://learn.microsoft.com/en-us/sysinternals/downloads/procmon
• OWASP Thick Client Testing Guide: https://owasp.org/www-project-thick-client-top-10/
• Ghidra: https://ghidra-sre.org/
• Echo Mirage: https://sourceforge.net/projects/echomirage/