포럼 업로드 취약점은 포럼에서 매우 흔한 취약점입니다. 포럼 소스코드는 설계 오류로 인해 취약점을 발생시키는 경우가 많다. 그 중 원격 사용자가 포럼 호스트에게 임의의 파일을 업로드할 수 있게 하는 취약점을 포럼 업로드 취약점이라고 한다. 포럼 업로드 취약점을 통해 침입자는 포럼 서비스를 원격으로 여는 호스트를 완전히 제어할 수도 있습니다. 대부분의 포럼에서는 인터페이스를 아름답고 사용자 친화적으로 만들기 위해 파일 업로드 기능을 지원합니다. 그러나 업로드할 파일 형식에 제한이 있습니다. 예를 들어 JPEG 형식의 파일만 필터링하는 것입니다. 형식은 업로드가 허용되어야 합니다. 따라서 사용자는 ASP 파일을 업로드할 수 있습니다. 다음은 DV BBS에 존재하는 업로드 취약점을 활용한 사례를 이용하여 업로드 취약점의 구체적인 내용과 활용방법을 설명한다.
1. 예시
동왕포럼 업로드 취약점을 활용한 침입.
동왕 포럼 업로드 취약점 설명: 동왕 포럼 업로드 취약점은 DV BBS7.0 SP2 이하의 모든 버전에 존재하며, 그 중 DV BBS7.0 SP2 이전 버전은 도구를 이용하여 직접 업로드할 수 있다. ASP 파일.
그림 4-73과 같이 기본정보 수정 시 아바타 업로드 위치에 취약점이 존재하며, '업로드' 버튼을 클릭하면 upfile.asp 파일이 호출되며, 파일 형식 필터링이 수행된다. upfile.asp에서는 문제가 엄격하지 않습니다.
그림 4-73
취약점 악용 아이디어: 취약점을 탐지한 후 취약점 포럼에 사용자 계정을 등록하고 이 계정을 사용하여 쿠키를 얻습니다. 로컬에서 웹 트로이 목마 파일을 생성하고, 특수한 도구를 사용해 획득한 쿠키 값과 함께 웹 트로이 목마를 원격 호스트에 업로드합니다.
1단계: 취약점 검색
취약점을 검색하려면 Baidu(.search.yahoo.com/)와 같은 검색 엔진을 사용할 수 있습니다. 예를 들어 그림 4-74와 같이 Baidu에서 ""Powered By:Dvbbs Version 7.0.0 SP1""을 검색합니다.
그림 4-74
이 예에서는 업로드 취약점이 발견된 Dongwang 포럼 호스트에 대해 공격 테스트를 수행합니다. 주소: 사이트가 생성되었습니다. 사이트 방문 시 기본 설정과 같은 정보는 컴퓨터 파일에 저장됩니다. 쿠키는 이름, 이메일 주소, 집이나 직장 주소, 전화번호 등 개인 식별 정보를 저장할 수 있습니다. 쿠키가 귀하의 컴퓨터에 저장되면 쿠키를 생성한 웹사이트에서만 쿠키를 읽을 수 있습니다.
쿠키에는 영구 쿠키와 임시 쿠키가 포함됩니다. 영구 쿠키는 귀하가 Internet Explorer를 닫을 때 귀하의 컴퓨터에 남아 있는 파일 형태로 귀하의 컴퓨터에 저장되며, 귀하가 사이트를 다시 방문할 때 쿠키를 생성한 웹사이트에서 읽을 수 있습니다. 임시 쿠키 또는 세션 쿠키는 현재 검색 세션 동안에만 저장되며 Internet Explorer를 닫으면 컴퓨터에서 삭제됩니다.
도구 소개
사용 도구: Winsock Expert.
도구 설명: 현재 일반적으로 사용되는 버전은 Winsock Expert v0.6 beta1입니다. Winsock Expert는 프로그램 실행을 추적하는 데 사용되는 특수 소프트웨어입니다. 이 소프트웨어를 사용하여 IE 실행을 추적하고 관련 쿠키 정보를 얻을 수 있습니다.
쿠키 획득
그림 4-79와 같이 Winsock Expert를 엽니다.
그림 4-79 등록된 사용자 이름으로 포럼에 로그인한 후 그림 4-80과 같이 기본정보 수정 페이지로 진입한다.
그림 4-80
쿠키를 얻기 위해서는 IE의 실행을 추적하고 데이터 패킷을 캡처해야 합니다. Winsock Expert로 돌아가 아이콘
을 클릭하고 Select Process To Monitor에서 방금 연 페이지를 선택합니다. 그림 4-81과 같이 "Dongwang Pioneer Forum - Basic Information Modification"이 있습니다.
그림 4-81 선택 후 "열기" 버튼을 클릭하면 그림 4-82와 같은 Winsock Expert 실행 인터페이스가 표시됩니다.
그림 4-82 Winsock Expert를 일시적으로 따로 설정하고 다른 작업을 수행하지 마십시오. 그림 4-83과 같이 포럼 기본 개인정보 수정 페이지에서 "찾아보기" 버튼을 클릭한 후 파일을 선택합니다.
그림 4-83
"업로드" 버튼을 클릭하면 그림 4-84와 같은 화면이 표시됩니다. 직접 업로드하는 ASP 파일은 필터링됩니다. 도구를 사용하여 ASP 웹 페이지 트로이 목마를 업로드하는 방법 이제 다음 단계를 준비하기 위해 쿠키를 가져옵니다.
그림 4-84 이제 데이터 패킷 캡처가 구현되었습니다. Winsock Expert 창의 Packets Text 열에서 "POST path" 항목이 있는 줄을 찾아 클릭하세요. 창 하단의 상세 정보에는 필수 쿠키 정보와 경로 정보, 파일 이름이 포함되어 있습니다. 그림 4-85와 같이 업로드된 파일의 정보입니다. 이 예제에서 얻은 쿠키 정보는 ASPSESSIONIDQGQQGUDK=NMPJMAFDNGMAJHOCNLOELOHL이고, 파일 업로드 및 처리 경로는 포럼 루트 디렉터리이며, 파일 이름은 upfile.asp입니다.
그림 4-85
4단계: 웹 페이지 트로이 목마 생성
도구 소개
사용된 도구: Haiyang Dingding.com ASP Trojan 2006년 버전.
도구 설명: Haiyang Dingding.com ASP 트로이목마 2006 버전에는 6개의 파일이 포함되어 있으며 파일 사용 지침은 다음과 같습니다.
2006.asp, Haiyang Dingding.com ASP 트로이목마의 2006년 버전 파일.
pack.vbs, 패키지 파일 "HYTop.mdb"의 압축 해제 프로그램.
2006X.exe, Haiyang Dingding.com ASP Trojan 2006 C/S 모드 변환기.
2006X2.exe, Haiyang Dingding.com ASP Trojan 2006용 짧은 전용 서버측 C/S 모드 변환기.
2006Z.exe, Haiyang Dingding.com ASP Trojan 2006_Lite 버전 결합기, 해당 기능으로 Trojan의 Lite 버전을 사용자 정의하는 데 사용됩니다.
2006Z.exe의 구성 파일인 hididi.ini.
여기에는 2006Z.exe가 생성한 웹페이지 트로이목마 파일이 사용된다. 2006Z.exe를 사용하면 웹 트로이목마 생성 기능이 선택사항이고 업로드 후 조작이 쉽다는 장점이 있다.
2006Z.exe 사용 지침: 프로그램을 연 후 "페이지 선택" 프레임에서 생성해야 하는 Haiyang Top Net ASP 트로이 목마 기능 모듈의 라이트 버전을 선택할 수 있으며, "페이지 생성" 프레임의 소스 파일 Haiyang Dingwang ASP Trojan 2006 전체 버전(이 폴더의 2006a.asp)을 참조합니다. 해당 소스 파일과 생성된 파일을 선택한 후 "생성" 버튼을 클릭하여 해당 기능 조합과 같습니다