One-way Web Hacking

More documents

Recommendations

Info

?> 일단 우리가 HTTP 상으로 명령 실행과 파일 업로드에 필요한 준비를 끝내면 목표 웹 서버에 우리가 원하는 것을 아주 많이 할 수 있다. 그것들은 다음과 같다. • 웹 서버에 소스 코드와 설정 파일들을 발견할 수 있고, • 만약 존재한다면 목표 웹 서버가 존재하는 내부 네트워크를 발견할 수 있고, • 웹 서버에 공격 툴을 업로드하여 그것을 실행할 수 있고, • ... 그리고 휠씬 더 많은 것들.. 다음 단계는 권한 상승을 위한 시도이며, 다음 섹션은 이것에 대한 것이다. 6.0 One-Way Privilege Escalation 섹션 4.0에서 다룬 것처럼 웹 기반의 command prompt들은 그것들이 실행되는 환경 하에서의 프로세스 권한을 물려받는다. 일반적으로, 만약 웹 서버의 프로세스가 상승된 권한으로 실행되고 있지 않다면 웹 기반의 command prompt들이 가진 권한은 제한된 사용자 레벨의 권한이다. front end 웹 서버에 plug-in된 몇몇 어플리케이션 서버들은 상승된 권한으로 실행된다. 좀더 깊은 공격을 하기 위해서는 웹 기반의 command prompt와 HTTP 파일 uploader를 설치한 후 대부분의 경우 어떤 형태의 권한 상승이 필요하다. 권한 상승 공격은 독특한 것이 아니다. 슈퍼 사용자든 또는 좀더 권한을 가진 사용자로든 권한을 상승시키는 결과를 가져다 주는 많은 exploit들이 다양한 운영체제에 대해 존재한다. 대부분의 권한 상승 공격은 one-way 공격 테크닉에 적용될 수 있다. 권한 상승 공격에 대한 자세한 토론은 이 글의 범위 밖이다. 우리는 두 가지의 예, 즉 "Microsoft IIS 5.0 In- Process Table Privilege Elevation Vulnerability" 4 와 "Linux Ptrace/Setuid Exec Vulnerability" 5 에 대해 토론할 것이다. 4 http://securityfocus.com/bid/3193
권한 상승 exploit이 비상호적으로 실행될 때 상호 대화식의 쉘, 터미널, GUI 콘솔 등을 요구하지 않는다는 것을 주의해야 한다. 이 예를 위해 우리는 one-way 방식에 맞게 하기 위해 Linux ptrace exploit을 수정해야만 했다. 6.1 Windows/IIS privilege escalation Windows 2000 서버에 IIS 5.0이 실행되고 있는 www1.example.com의 경우를 예로 들어보자. 그리고 이 서버는 이미 공격을 당했으며, 섹션 5.0에 나온 uploader 스크립트인 upload.asp 파일이 이 서버에 존재한다는 것을 가정한다. 6.1.1 Windows 공격 툴 업로드 우리는 웹 기반의 command prompt인 cmdasp.asp(4.0.2 섹션에서 설명된 것)와 두 개의 바이너리 idq.dll과 pwdump.exe를 업로드 할 것이다. idq.dll은 Microsoft IIS 5.0 In-Process Table Privilege Elevation Vulnerability를 이용하는 권한 상승 exploit이다. 실행을 하면 Administrators 그룹에 IUSR_machinename와 IWAM_machinename 계정을 추가하고, 그래서 웹 기반의 command prompt를 포함해 IIS 프로세스 권한으로 실행되고 있는 모든 프로세스와 어플리케이션들에게 관리자 권한을 주게 된다. pwdump.exe는 password hash를 dump하는 바이너리이며, 관리자 권한으로 실행되는 것을 요구한다. 아래의 스크린샷은 이 3개의 바이너리가 www1.example.com에 업로드 되고 있는 것을 보여준다. 5 http://securityfocus.com/bid/3447
Page 1 and 2:
One-way Web Hacking "Necessity is t
Page 3 and 4:
6.1.1 Windows 공격 툴 업로드
Page 5 and 6:
web application server는 스크립
Page 7 and 8: 3.0 entry point 찾기 one-way hack
Page 9 and 10: usr/local/apache/cgi-bin/sh.cgi| sh
Page 11 and 12: 12/07/00 12:50p weblogic 12/07/00
Page 13 and 14: drwxrwxr-x 2 root root 4096 Feb 2 2
Page 15 and 16: } print "By Saumil Shah (c) net-squ
Page 17 and 18: ## uncomment the while loop below #
Page 19 and 20: # Able to send arbitrary commands t
Page 21 and 22: @commands = ("\n", "\necho 'Content
Page 23 and 24: } print S 'POST '. $file. " HTTP/1.
Page 25 and 26: C:\Inetpub\scripts>exit $ post_sh.p
Page 27 and 28: 웹 기반의 command prompt와 같
Page 29 and 30: {$errflag="Short Read: wanted $len,
Page 31 and 32: } die $@ if $errflag; if ($name) {
Page 33 and 34: 1; } } @dummy = split(/\//, $fn); $
Page 35 and 36: } sub MyBaseUrl { } local ($ret, $p
Page 37 and 38: } sub PrintEnv { } &PrintVariables(
Page 39 and 40: ASP 기반의 command prompt 스크
Page 41 and 42: %> } } } catch(IOException e) { }
Page 43 and 44: 위의 명령들은 목표 웹 서
Page 45 and 46: else { } $file = '/'; if(defined($A
Page 47 and 48: sub httpconnect { } my ($server, $p
Page 49 and 50: 5.0 File uploader 목표 웹 서버
Page 51 and 52: Else Else Else Binary = Empty Err.R
Page 53 and 54: sFrom = LCase(From) PosB = InStr(sF
Page 55 and 56: Function vbsSaveAs(FileName, ByteAr
Page 57: #!/usr/bin/perl require "cgi-lib.pl
Page 61 and 62: 6.1.2 idq.dll - 권한 상승 다
Page 63 and 64: * Linux kernel ptrace/kmod local ro
Page 65 and 66: unsigned long * src; } int i, len;
Page 67 and 68: if (err == -1) } fatal("[-] Unable
Page 69 and 70: eturn 0; } 아래의 스크린샷
Page 71 and 72: 7.0 웹 기반의 SQL Command Promp
Page 73 and 74: --> database. Present version works
Page 75 and 76: Response.write("") Response.write("
Page 77 and 78: Response.write("") Response.write("
Page 79 and 80: Response.Write "" For F = 0 to Numb
Page 81 and 82: Query String:
Page 83 and 84: 7.4 웹 어플리케이션 도용
Page 85 and 86: 7.6 저장된 프로시저 실행
Page 87: SSL은 어플리케이션을 보호
show all

One-way Web Hacking

Create successful ePaper yourself

Delete template?

Save as template?