• 웹 해킹 훈련장 172.16.15.116 40080/tcp 대상 공개용 도구 기반의 홈페이지 취약점 점검 실습 (20200507)
• Kali Linux 2020.1b 64bit 설치 설명서 (MS 윈도우 10, VMware 플레이어) (20200325)
• VirtualBox 가상머신으로 GSM CE 6.0.2 설치 설명서 (OpenVAS) (20200125)
• Kali Linux 2019.4 64bit Light 배포판 설치 설명서 (권장) (20191202)
• Kali Linux 2019.3 64bit Large 배포판 설치 및 한글 설정 설명서 (20191129)
• [과제] WH-MissAuth-1 웹해킹훈련장: 접속자 권한인증 후 출력 제어 취약점 (20180619)
• [과제] WH-WebEditor-SE2 웹해킹훈련장: 취약한 PHP 버전에서 원래 파일이름을 저장하는 웹에디터의 취약점을 이용한 시스템 침투 (20170827)
• [과제] WH-FILEDOWN-01 웹해킹훈련장: 파일다운로드로 서버침투 (20170810)
• [과제] WH-COOKIE-02 웹해킹훈련장: 쿠키 오용 취약점 (20170809)
• Apache Tomcat /manager/html 무작위대입공격 도구 작성 - PHP (20170721)
• 칼리 리눅스를 이용한 From SQL Injection to Shell 공략 (20170404)
• 단순한 방어법(../ 제거)의 파일 다운로드 취약점 진단 사례 (20170329)
• WH-WebEditor-CH 라이브 ISO: 이미지 검증 기능을 우회하여 PHP 웹쉘 생성 (20170130)
• 오늘의 웹서버 공격 로그: MySQL 관리 인터페이스 자동탐색 도구 - Jorgee Scanner (20170125)
• WH-WebEditor-GM 라이브 ISO: 이미지 검증 기능을 우회하여 PHP 웹쉘 생성 (20170123)
• 오늘의 웹서버 공격 로그: Apache ProxyAbuse 탐지 시도 (20170122)
• 오늘의 웹서버 공격 로그: Bash 쉘쇼크 취약점을 이용한 Perl Ircbot 삽입 시도 (20170122)
• 오늘의 웹서버 공격 로그: phpMyAdmin 취약점 자동탐색 도구 - ZmEu Scanner (20170121)
• 오늘의 웹서버 공격 로그: 워드프레스 취약점 자동탐색 도구 (20170118)
• WH-PathTrav-01 라이브 ISO: 파일 다운로드 취약점으로 서버 침투 (20170116)
• WH-Webshell-Loc-01 라이브 ISO: 서버 내 웹쉘 저장경로 알아내기 (20170114)
• WH-ImgShell-01 라이브 ISO: 이미지에 덧붙인 웹쉘 취약점 웹해킹훈련장 (20170113)
• SSH 무작위 대입 공격으로 root권한을 탈취한 침해사고 사례 (20170112)
• WH-IllInst-WordPress 워드프레스 웹해킹훈련장 소개 (20170110)
• WH-IllInst-WordPress 워드프레스 웹해킹훈련장 실습 설명서 (20170110)
• MSSQL과 MySQL의 SQL구문삽입을 이용한 OS 명령어 실행 (20170109)
• WH-CommInj-01 원격 운영체제 명령어 삽입 취약점 훈련장(라이브 ISO) 소개 및 실습 설명서 (20170106)
• WH-Deface-01 기능별 권한인증 취약점 훈련장(라이브 ISO) 소개 (20170104)
• WH-Deface-01 웹해킹훈련장 실습 설명서 (20170104)
• WH-Account-01 회원가입 취약점 훈련장(라이브 ISO) 소개 (20170102)
• WH-Account-01 웹해킹훈련장 실습 설명서 (20170103)
• WH-Account-02 회원정보수정 취약점 훈련장(라이브 ISO) 소개 (20170103)
• WH-Account-02 웹해킹훈련장 실습 설명서 (20170104)
• 저장형 XSS 공격을 이용한 홈페이지위변조 공격 사례 (20161231)
• 로그인한 상태에서 웹취약점스캐너의 자동점검 위험성 (20161228)
• DBMS Fingerprinting (데이터베이스 관리시스템 탐지) (20161222)
• FCKeditor를 대상으로 한 자동화 공격툴의 침해사례 (20161220)
• 이중 서버스크립트 혼용을 이용한 웹방화벽/확장자검증 우회 (실제 사례) (20161219)
• HTTP/HTTPS 혼용에 따른 관리자로그인 페이지 접근 우회 (실제 사례) (20161214)
• 경로재지정 취약점: 자바스크립트를 이용한 검증과 그 우회, 그리고 XSS (실제 사례) (20161214)
• 웹해킹 사례: 유명 홈페이지를 악성코드 배포 경유지로... (20161213)
• HTML 삽입, XSS 공격 탐지방법 (20161211)
• 오늘의 웹서버 공격 로그, Axis2, 공개프록시 (20161210)
• 오늘의 웹서버 공격 로그, XML-RPC, Open Proxy (20161208)
• nikto와 owasp-zap 연동 (20161206)
• 미라이 IoT DDoS 봇넷이 사용한 61개 비밀번호 (20161205)
• 오늘의 웹서버 공격 로그, SOAP 원격코드실행, D-Link 명령어 삽입, muieblackcat (20161205)
• 오늘의 웹서버 공격 로그, w00tw00t (DFind) (20161204)
• 기억하기 쉽고 안전한 비밀번호 만들기 (20161203)
• 2016.12.01-02 웹서버 공격 로그, armgg DDoS 악성코드 (20161202)
• KISA의 랜섬웨어 예방 수칙 (20161202)
• WH-DVWA-1.9 Damn Vulnerable Web App 웹해킹훈련장 (20161201)
• DVWA Brute Force 실습 설명서 (20161205)
• DVWA Command Injection 실습 설명서 (20161207)
• DVWA CSRF (low, high level) 실습 설명서 (20161208)
• DVWA File Inclusion 실습 설명서 (20161215)
• DVWA File Upload 실습 설명서 (20161221)
• DVWA SQL Injection (low, medium, high level) 실습 설명서 (20161224)
• DVWA SQL Injection medium level - OWASP-ZAP과 sqlmap 실습 설명서 (20161222)
• DVWA Blind SQLi (high level) 수동점검을 통한 '눈먼'SQL 구문삽입의 이해 (20161227)
• DVWA Blind SQL Injection (low, medium level) sqlmap 실습 설명서 (20161226)
• DVWA Reflected Cross Site Scripting (XSS) 실습 설명서 (20161227)
• DVWA Stored Cross Site Scripting (XSS) 실습 설명서 (20170101)
• SVG 이미지의 ECMAscript를 이용한 악성코드 배포 (20161201)
• WH-WebGoat-7.0.1 웹해킹훈련장 라이브 ISO (20161130)
• WebGoat: Bypass a Path Based Access Control Scheme (20161207)
• WebGoat, LAB: DOM-Based cross-site scripting (20161208)
• WebGoat, Authentication Flaws: Multi Level Login 2 (20161209)
• WebGoat, Code Quality: Discover Clues in the HTML (20161210)
• WebGoat XSS: Phishing with XSS (20161211)
• WebGoat: OS Command Injection (20161215)
• WebGoat: Numeric SQL Injection (20161216)
• WebGoat: String SQL Injection (UNION기반 SQL 구문삽입의 이해) (20161217)
• WebGoat: Blind Numeric SQL Injection (추리기반 SQL 구문삽입의 이해) (20161218)
• 2016.11.30 웹서버 공격 로그 (20161130)
• OWASP TOP 10 (2013) 문서의 각종 해킹 시나리오 모음 (20161129)
• WH-LFI-01: 널바이트삽입과 내부파일실행 웹해킹훈련장 (20161126)
• WH-LFI-01 웹해킹훈련장의 취약점 분석 결과보고서 (20161128)
• 인터넷(Internet)과 보안에 대해 짧게 생각해보다 (20161125)
• PHP Easter Egg의 이해와 조치방안 (20161125)
• WH-COOKIE-01: 잘못된 쿠키 사용 사례를 보여주는 웹해킹훈련장 (20161124)
• WH-COOKIE-01 웹해킹훈련장 홈페이지 취약점분석 결과보고서 (20161126)
• 웹해킹 공격/방어 일람 (20161121)
• webhack.dynu.net 문자배너 만들기 - toilet (20161121)
• MIME 형식의 보안위협 완화: X-Content-Type-Options 헤더 (20161120)
• X-XSS-Protection헤더 시험 페이지 (20161119)
• 방화벽을 노리는 블랙너스(Black Nurse) DoS 공격 (20161118)
• 클릭재킹 방지를 위한 X-Frame-Options 헤더 (20161117)
• X-Frame-Options헤더 시험 페이지 (20161118)
• 공시생 성적조작 사건, 물리보안과 정보보안 (20161117)
• ID/PW 평문전송, 정말 그렇게 큰 취약점인가? (20161116)
• [웹해킹훈련장] 취약한 비밀번호: WH-weak-root-pw 실습 설명서 (20161116)
• weak-root-pw 훈련장 웹취약점 분석 보고서 (20161117)
• 슬리타즈 리눅스 4.0 설치와 웹해킹훈련장 Live ISO 만들기 (20161115)
• 버추얼박스 가상머신에서 Tails OS 설치 (20161114)
• Kali Linux에 Tor Browser 설치하기 (20161114)
• 인터넷익명성 - VPN과 Tor (20161114)
• Kali Linux, open-vm-tools, Shared Folder (20161113)
• SSL Strip 공격과 HSTS (20161112)
• 모든 꼬리표 모아보기(태그 클라우드) (20161111)
• HTTP 세션 탈취와 IP보안 (20161111)
• HTTP TRACE method와 XST 공격 (20161111)
• 세션쿠키와 HttpOnly (20161110)
• HTTP 메소드 수동점검 방법 (20161110)
• 파일업로드(웹쉘) 방어하기 (20161109)
• 파일다운로드/경로조작 방어하기 (20161109)
• XSS, SQL Injection 방어하기 (20161109)
• 길찾기(sitemap) (20161109)
• 웹취약성분석 관련 파일 목록 (20161108)
• SQL 인젝션 공격도구 sqlmap의 간단한 사용법 (20161107)
• 웹취약점 분석 도구로서의 THC Hydra (20161107)
• 웹취약점 분석 도구로서의 cURL (20161107)
• [웹해킹훈련장] CVE-2014-6271: Bash Shellshock 실습 설명서 (20161104)
• [PentesterLab] CVE-2014-6271 Shellshock 훈련장 웹취약점 분석 보고서 (20161106)
• 무료 웹해킹 교육장 목록 (20161103)
• 칼리 리눅스(Kali Linux) 설치 (20161030)
• 가상머신 버추얼 박스(VirtualBox) 설치 (20161029)
• 가상머신 VMWare Workstation Player 설치 (20161028)
• [웹해킹훈련장] Drunk Admin Web Hacking Challenge 실습 설명서 (20161027)
• 스마트에디터(SmartEditor) 2.0 Basic의 웹쉘 업로드 취약점 (20160719)
<< 목록숨기기
#WH-Account-02
#웹해킹 훈련장
#Live ISO
#취약한 회원정보 처리
#nmap
#nikto
#owasp-zap
#hydra
WH-Account-02: 회원정보 갱신시 정보처리가 취약한 웹해킹훈련장 (소개)
이 훈련장에서는 기존 사용자의 회원정보 수정시 입력 검증이 미비하여 발생하는 취약점을 다룬다. 실제 서비스에서 자주 발견되는 취약점이다. WH-Account-01 훈련장의 회원가입 취약점보다는 많은 빈도로 나타난다. 회원정보 수정 과정에서 관리자 권한을 획득하고 관리 기능을 이용하여 웹서버에 침투할 수 있다. 여기서는 부팅 과정을 소개하고, 각종 공개 취약점 스캐너로 점검한 결과를 수록하였다.
[ WH-Account-02 Live ISO 파일 내려받기 ]
위의 파일을 내려받아서 적당한 위치에 저장한다.
VMWare Player나 VirtualBox를 이용하여 손님운영체제로 구동한다.
이때 메모리는 256MB이상이면 되고, 가상디스크는 설정하지 않아도 된다.
부팅이 끝나면 root:root로 로그인하고 ifconfig 명령어로 IP주소를 확인한다.
이 설명서에서의 훈련장 IP주소는 192.168.189.238이다.
[ ↑ WH-Account-02 훈련장 누리집 첫 화면 ]
위 그림은 파이어폭스에서 WH-Account-02 훈련장(http://192.168.189.238/)에 접속한 화면이다.
아이디, 비밀번호를 입력하여 로그인하거나 회원가입을 할 수 있는 누리집이다.
파일은 목록만 보여주고 접근은 허용하지 않는다.
이 훈련장을 nmap, nikto, owasp-zap, hydra 등으로 점검해보자.
nmap 탐색 결과
nmap으로 WH-Account-02 훈련장 서버가 개방하고 있는 포트를 점검하였다.
root@kali:~# nmap -A 192.168.189.238 Starting Nmap 7.31 ( https://nmap.org ) at 2017-01-03 22:13 KST Nmap scan report for 192.168.189.238 Host is up (0.00047s latency). Not shown: 999 closed ports PORT STATE SERVICE VERSION 80/tcp open http Apache httpd |_http-server-header: Apache |_http-title: \xEC\xB7\xA8\xEC\x95\xBD\xED\x95\x9C \xED\x9A\x8C\xEC\x9B\x90\xEC\xA0\x95\xEB\xB3\xB4 \xEC\xB2\x98\xEB\xA6\xAC ::: \xEC\x9B\xB9\xED\x95\xB4\xED\x82\xB9/\xED\x99\x88\xED\x8E\x98\xEC\x9D\xB4\xEC\xA7\x80\xEC\xB7\xA8\xEC\x95\xBD... MAC Address: 00:0C:29:E3:3F:16 (VMware) Device type: general purpose Running: Linux 2.6.X OS CPE: cpe:/o:linux:linux_kernel:2.6 OS details: Linux 2.6.36 - 2.6.37, Linux 2.6.37 Network Distance: 1 hop TRACEROUTE HOP RTT ADDRESS 1 0.47 ms 192.168.189.238 OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ . Nmap done: 1 IP address (1 host up) scanned in 13.24 seconds root@kali:~#
WH-Account-02 훈련장 서버는 80 포트에서 Apache httpd 기반으로 홈페이지를 운영하고 있다.
아마도 운영체제는 2.6.X 커널 기반의 리눅스로 추정된다(이 경우에는 실제로 커널 버전이 2.6.37이므로
nmap이 비교적 정확한 것을 확인할 수 있다).
nikto 스캐너 탐색 결과
80포트에서 HTTP 서비스가 발견되었으므로 nikto를 실행하여 웹서비스 구성에서의
취약점을 탐색한다. 결과는 아래와 같다.
root@kali:~# nikto -host 192.168.189.238 - Nikto v2.1.6 --------------------------------------------------------------------------- + Target IP: 192.168.189.238 + Target Hostname: 192.168.189.238 + Target Port: 80 + Start Time: 2017-01-03 22:15:39 (GMT9) --------------------------------------------------------------------------- + Server: Apache + Cookie PHPSESSID created without the httponly flag + No CGI Directories found (use '-C all' to force check all possible dirs) + Web Server returns a valid response with junk HTTP methods, this may cause false positives. + 7535 requests: 0 error(s) and 2 item(s) reported on remote host + End Time: 2017-01-03 22:15:51 (GMT9) (12 seconds) --------------------------------------------------------------------------- + 1 host(s) tested root@kali:~#
세션 쿠키인 PHPSESSID에 대해서 HttpOnly 속성이
활성화되지 않았다.
XSS 공격이 가능할 경우에는 사용자의 세션을 탈취할 수 있는 가능성을 확인할 수 있다.
OWASP-ZAP의 웹 어플리케이션 취약점 탐색 결과
OWASP-ZAP의 "빠른 시작" 기능을 이용하여 WH-Account-02 훈련장을 스캔하였다.
[ ↑ WH-Account-02 훈련장의 OWASP-ZAP 웹취약점점검 결과 화면 ]
OWASP-ZAP에서는 nikto에서와 마찬가지로 PHPSESSID에 대한 HttpOnly
미설정 문제를 지적하고 있다.
더불어 "비밀번호 자동채움"(Password Autocomplete)이 가능하다는 점을 탐지하였다.
둘 모두 위험도는 낮음(하)이다.
비밀번호 자동채움(Password Autocomplete) 기능을 비활성화하기 위해서는 <input>의
autocomplete 속성을 "off"로 설정하면 된다.
예를 들어 비밀번호의 자동채움을 막고자 하면
<input type="password" name="pw" autocomplete="off" />와 같이 쓰면 된다.
이렇게 하면 웹 브라우저가 해당 누리집의 비밀번호를 저장하지 않는다.
웹 브라우저 자체에 취약점이 있을 경우를 대비하여, 브라우저 내에 저장된 비밀번호 정보를 탈취당하지 않기 위한
방법이다.
그러나 사용자 편의성 문제 때문에 - 금융권을 제외한 - 대부분의 누리집에서는 사용하지 않는다.
비밀번호 무작위 대입 공격(THC Hydra)
WH-Account-02 누리집은 사용자 로그인 기능이 있다.
비밀번호가 취약하게 설정된 시험 계정이나 관리자 계정이 존재하는 지 hydra로 점검해보자.
USER:PASS로 로그인하는 과정의 HTTP 요청과 HTTP 응답은 다음과 같았다.
[HTTP 요청] POST http://192.168.189.238/login.php HTTP/1.1 User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:45.0) Gecko/20100101 Firefox/45.0 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Accept-Language: en-US,en;q=0.5 Referer: http://192.168.189.238/ Cookie: PHPSESSID=teklb6i4v9uc61bcol5c1t0im0; pass=fb621f5060b9f65acf8eb4232e3024140dea2b34 Connection: keep-alive Content-Type: application/x-www-form-urlencoded Content-Length: 23 Host: 192.168.189.238 userId=USER&userPw=PASS
[HTTP 응답]
HTTP/1.1 200 OK
Date: Tue, 03 Jan 2017 22:23:33 GMT
Server: Apache
X-Frame-Options: DENY
X-XSS-Protection: 1
X-Content-Type-Options: nosniff
Content-Length: 60
Keep-Alive: timeout=5, max=100
Connection: Keep-Alive
Content-Type: text/html
<script>alert('ID does not exist.');history.back();</script>
위의 HTTP 응답에서 ID가 존재하지 않을 때는
ID does not exist.이나
history.back이라는 문자열이 나타난다는 것을 볼 수 있다.
이를 바탕으로 다음과 같이 hydra를 이용하여 취약한 계정을 점검하였다.
취약한 계정목록과 비밀번호 목록은
weakuser.txt와
weakpass.txt이다.
root@kali:~# hydra 192.168.189.238 http-form-post "/login.php:userId=^USER^&userPw=^PASS^:history.back" -L weakuser.txt -P weakpass.txt Hydra v8.3 (c) 2016 by van Hauser/THC - Please do not use in military or secret service organizations, or for illegal purposes. Hydra (http://www.thc.org/thc-hydra) starting at 2017-01-03 22:25:52 [DATA] max 16 tasks per 1 server, overall 64 tasks, 9612 login tries (l:18/p:534), ~9 tries per task [DATA] attacking service http-post-form on port 80 [80][http-post-form] host: 192.168.189.238 login: admin password: 123456 [80][http-post-form] host: 192.168.189.238 login: admin password: password [80][http-post-form] host: 192.168.189.238 login: admin password: 12345678 [80][http-post-form] host: 192.168.189.238 login: admin password: 123456789 [80][http-post-form] host: 192.168.189.238 login: admin password: qwerty [80][http-post-form] host: 192.168.189.238 login: admin password: 12345 [80][http-post-form] host: 192.168.189.238 login: admin password: 1234 [80][http-post-form] host: 192.168.189.238 login: admin password: 111111 [80][http-post-form] host: 192.168.189.238 login: admin password: 1234567 [80][http-post-form] host: 192.168.189.238 login: admin password: dragon [80][http-post-form] host: 192.168.189.238 login: admin password: 123123 [80][http-post-form] host: 192.168.189.238 login: admin password: baseball [80][http-post-form] host: 192.168.189.238 login: admin password: abc123 [80][http-post-form] host: 192.168.189.238 login: admin password: football [80][http-post-form] host: 192.168.189.238 login: admin password: monkey [80][http-post-form] host: 192.168.189.238 login: admin password: letmein [STATUS] 2365.00 tries/min, 2365 tries in 00:01h, 7247 to do in 00:04h, 16 active [STATUS] 2056.67 tries/min, 6170 tries in 00:03h, 3442 to do in 00:02h, 16 active [STATUS] 2018.25 tries/min, 8073 tries in 00:04h, 1539 to do in 00:01h, 16 active 1 of 1 target successfully completed, 16 valid passwords found Hydra (http://www.thc.org/thc-hydra) finished at 2017-01-03 22:30:41 root@kali:~#
hydra 탐색 결과에서 16개의 계정:비번 조합이 탐지되었다.
그런데 살펴보면 ID가 모두 admin이다.
이 ID로 로그인을 시도했을 때의 응답은 다음과 같았다.
[ID=admin일 경우의 HTTP 응답] HTTP/1.1 302 Found Date: Tue, 03 Jan 2017 22:31:52 GMT Server: Apache X-Frame-Options: DENY X-XSS-Protection: 1 X-Content-Type-Options: nosniff Location: index.php Content-Length: 0 Keep-Alive: timeout=5, max=100 Connection: Keep-Alive Content-Type: text/html
로그인 과정에서 존재하지 않는 ID일 경우에는
<script>alert('ID does not exist.');history.back();</script>라는
문자열을 출력한다.
그렇다면 - 서버의 반응이 달랐으므로 - admin은 아마도 존재하는 ID일 것으로 추정할 수 있다.
admin으로 로그인에 실패할 때의 서버 반응이 로그인에 성공할 때와 동일해서
더 이상의 무작위대입추출 공격이 어렵다.
마무리
공개용 취약점 점검 도구로는 다음과 같은 결론을 얻을 수 있다.
- 세션쿠키(
PHPSESSID)에HttpOnly미설정인 상태이므로 HTML 삽입이 가능한 취약점을 추가로 발견하게 된다면 세션탈취가 가능할 수 있다. - 아마도 관리자 계정의 ID는
admin일 것이다.
위와 같은 결과를 바탕으로 수동점검에서는 HTTP 통신을 분석하면서 XSS 취약점이나 회원가입시에 존재할 수 있는 취약점을 점검하면 된다.
이 훈련장은 WH-Account-01 훈련장에서 회원가입시의 취약점과 파일 업로드 취약점 일부를 수정하여 구현하였다. 따라서 WH-Account-01 훈련장 실습을 선행할 것을 권한다.
[처음 작성한 날: 2017.01.03] [마지막으로 고친 날: 2017.01.03]
< 이전 글 : WH-Account-01 웹해킹훈련장 실습 설명서 (2017.01.03)
> 다음 글 : WH-Account-02 웹해킹훈련장 실습 설명서 (2017.01.04)
이 저작물은 크리에이티브
커먼즈 저작자표시 4.0 국제 라이선스에 따라 이용할 수 있습니다.
잘못된 내용, 오탈자 및 기타 문의사항은 j1n5uk{at}daum.net으로 연락주시기 바랍니다.
문서의 시작으로 컴퓨터 깨알지식 웹핵 누리집 대문