[Secure]_#06_[ 파일 업로드, Web shell, 파일 다운로드 ]

< 파일 업로드 >

   - 점검 내용 : 웹 사이트의 게시판, 자료실 등에 조작된 Server side Script( jsp, asp, php) 파일 업로드 및 실행 가능 여부 점검.

   - 점검 목적 : 업로드되는 파일의 확장자에 대한 적절성 여부를 검증하는 로직을 통해 공격자가 조작된 Server Side Script 파일 업로드 방지 및 서버상에 저장된 경로를 유추하여 해당 Server Side Script 파일 실행을 불가능하게 하기 위함.

   - 보안 위협 : 해당 취약점이 존재할 경우 공격자는 조작된 Server Side Script 파일을 서버에 업로드 및 실행하여 시스템 관리자 권한 획득 또는 인접 서버에 대한 침입을 시도할 수 있음.

 

 

* 공격자들이 제일 먼저 확인하는 취약점이 <파일 업로드> 취약점.

 

* Web shell : Web에서 서버로 명령어를 입력가능하게 해주는 기능(?)

 

<파일 업로드>공격에 필요한 조건 :1. 업로드 위치, 파일 이름명2. 서버에 사용하는 언어(알아야 함.)   - php, asp 는 url에 위치까지 그대로 보인다.   - jsp 는 위치를 숨길 수 있다.3. 확장자명 필터링 여부.

 

 

-----ex) about Video01

 

(1) 위치확인   --> 평범한 jpg파일을 업로드 한 후, jpg가 올려진 것을 확인.   --> 해당 글에서 사진의 속성을 확인하여 해당 url을 통해 접근을 시도.   --> 접근 시도가 성공하면 해당 url에 나타나는 위치를 통해 위치 확인.

 

(2) url을 다시 확인하여 어느 언어로 서버가 이루어져 있는지 확인.(jsp, asp, php)
   --> url에 jsp가 있는 것을 확인.   --> Webshell.jsp 파일을 첨부하여 업로드.

 

(3) 필터링이 있는지 확인.    --> 필터링이 있는 경우 : 업로드 하려던 Webshell.jsp 파일의 확장명을 바꾸어서 Webshell.jpg로 바꾸어서 업로드한다.
   --> 우회 방법 (1) : 프록시 툴을 통해 다시 Webshell.jpg 를 Webshell.jsp로 변경.   --> 우회 방법 (2) : [소스보기]를 통해 .jsp 확장자 명을 필터링하는 소스를 지워버리면 됨.

 

   ** 우회방법(1)의 원리 :    - 소스는 서버에서 받아와서 사용자의 pc에 저장된 상태이기 때문에 필터링 소스도 사용자의 pc에 존재한다.   --> 따라서 .jpg 확장자를 달고 필터링 소스를 지나간 .jpg 파일이 서버로 전송되기 전에 프록시툴에서 .jsp 확장명을 다시 달아서    서버로 보내면 업로드가 가능하다.

 

   **우회방법(2)의 원리 :    - 소스는 서버에서 받아와서 사용자의 pc에 저장된 상태이기 때문에 필터링 소스도 사용자의 pc에 존재한다.   --> 따라서 [소스보기]를 통해 필터링 소스를 지워버린다면 .jsp 확장자명을 가진 파일도 업로드가 가능하다.

 

(4) url에  /경로/Webshell.jsp 실행.

 

(5) ~.bat 업로드 (권한을 올리는 기능을 갖고 있음.)

 

(6) ~.bat 실행    --> (이때, .bat 확장자는 window운영체제에만 있는 확장자이기 때문에 window 버전, 혹은  IIS 버전을 알아야 한다.)

 

(7) 공격자가 자신만의 계정생성 후 권한 부여 --> 열린 포트를 통해 원격 접속 시도 --> 서버의 컴퓨터는 공격자의 손안에 들어온다.

 

 

ㅡㅡㅡㅡㅡ

 

!! 그렇다면, 위와 같은 파일 업로드 공격을 방지하는 방법은 무엇인지 알아보자. !!

 

방법 1. 파일이 업로드 되는 위치를 숨긴다. / 파일 이름 숨기기.

방법 2. 확장자 필터 (서버에서) 

--> 방법 1 과 방법 2는 공격자가 악의적 파일을 업로드하는 것을 막는 것이다.

 

방법 3. 서버에서 확장자명을 떼고 저장.(파일이름도 바꿔둔 채 본래의 이름과 매칭 시켜둬도 됨.)

--> 방법 3의 경우는 악의적 파일 실행을 막는 것이다.

 

 

---

---

 

<파일 다운로드>

   - 점검 내용 : 웹 사이트에서 파일 다운로드 시 허용된 경로 외 다른 경로의 파일 접근이 가능한지 여부 점검.

   - 점검 목적 : 파일 다운로드 시 허용된 경로 외 다른다른 경로의 파일 접근을 방지하여 공격자가 임의의 위치에 있는 파일을 열람하거나 다운받는 것을 불가능하게 하기 위함.

   - 보안 위협 : 해당 취약점이 존재할 경우 공격자는 파일 다운로드 시 애플리케이션의 파라미터 값을 조작하여 웹 사이트의 중요한 파일(DB 커넥션 파일(DB를 연결하는 파일), 애플리케이션 파일 등) 또는 웹 서버 루트에 있는 중요한 설정 파일(passwd, shadow 등) 을 다운받을 수 있음.

 

** 다운이 되는 것 자체가 취약점이라고 볼 수 있다.

 

-----

about Video 2

 

<파일 다운로드>취약점 이용 공격 과정 예시.

 

(1) 첨부 파일과 같이 파일을 다운 받을 수 있는 페이지에서 [소스보기]를 통해 어느 URL을 통해 다운 받는지(다운로드 로직 찾기) 알아낸다.   --> 찾아낸 URL 복사해둠.  (해당 url이 [  ~ /data/ + 'x'  ] 라고 예를 들어보겠다.)

 

(2) 복사한 URL로 접속한 위치가 현재 어느 폴더인지 알아내기 위해 먼저  복사한 url에  /data/download.jsp 를 추가하여 입력.   --> 오류 --> 현재 폴더가 /data/는 아님을 알 수 있다.

 

(3) 한번 더 (2)와 같은 이유로 이번엔 url에  ../data/download.jsp 를 입력.   --> 오류구문에서  " .. /"이 " ./ " 으로 필터링 되었음을 확인.

 

(4) "  ../  "의 필터링을 우회하기 위해 url에 ..../data/download.jsp 를 입력.   --> 성공 --> 현재 위치가 ../data (/data의 한단계 윗 폴더)이고 이 위치에 download.jsp가 존재함을 알 수 있다.

 

?? 필자 (4)번 살짝  헷갈림...

 

위와 같은 공격의 경우,

상위폴더로의 접근이 필터링되어 상위폴더의 파일에 접근하지 못하더라도

하위폴더의 파일들은 다운받을 수 있음을 간과하면 안된다.

ㅡㅡㅡㅡㅡ

 

그렇다면 위와 같은 파일 다운로드 공격을 방지하는 방법은? 무엇일까?

 

-->

다운 받는 폴더를 중요폴더와 완전히 무관한 폴더로 배정해 놓고,

상위폴더로 이동하지도 못하게 ../를 필터링하는 것이다.

 

ㅡㅡㅡㅡㅡ