Path Traversal 취약점 탐지 실습

1. Path Traversal 이란?

Path Traversal은 웹 루트 디렉토리 외부에 저장된 파일 및 디렉토리에 접근하는 기법이다. 경로 탐색 취약점이라고도 불리며 절대경로(../)를 사용해 접근한다. 

2. 탐지된 이벤트 분석

그림 1-1 프록시 설정

FireFox에 접속해 Preference 탭에 가서 Advanced탭에 Settings에서 프록시 설정을 한다. IP는 127.0.0.1, PORT는 8080을 입력하고 OK를 누른다.

그림 1-2 Owasp-Zap 도구

웹 진단을 위해 Owasp-Zap 도구를 사용한다. 진단할 대상의 사이트인 DVWA에 접속만 해도 Owasp-Zap 도구에서 탐지해낸다. DVWA는 metasploitable 2를 설치하고 칼리리눅스에서 해당 IP에 접속하면된다. 일부러 취약하게 만들어놓은 환경이기 때문에 웹 진단 실습 공부에 최적의 환경이다.

그림 1-3 sguil 엔진

Secutiry Onion에서 sguil 엔진을 실행한다. username과 password를 입력하고 로그인한다.

그림 1-4 securityonion.conf

cd /etc/nsm으로 이동해 securityonion.conf 파일을 실행한다. 

그림 1-5 Local hids rule tuning 

Local hids rule tuning을 yes로 지정하고 저장한다. 설정을 하지 않을 경우 인터넷 오동작으로 인해 스노트 규칙 업데이트에 실패한다.

그림 1-6 스노트 규칙

리눅스 창을 열어 cd /etc/nsm/rules 폴더로 이동해 local.rules 파일을 열고 그림 1-4와 같이 작성한다. 공격명은 Path Traversal이고 공격 패턴은 ../../../../etc/password다. 

그림 1-7 rule-update

스노트 규칙을 작성하고 저장한 후 sudo rule-update 명령어를 통해 변경된 스노트 규칙을 업데이트한다. 

그림 1-8 snort rule set 적용

실행을 통해 OK가 나와도 스노트 룰셋을 잘못 작성했을시 규칙이 적용이 안될 수 있기 때문에 sudo nsm --sensor --restart --only-snort-alert 명령어도 같이 실행해 OK가 나오는지 확인한다. 

그림 1-9 Active Scan

그림 1-2에서 스캔한 DVWA 사이트 IP에서 오른쪽을 클릭해 Attack-ActiveScan을 한다. 이 때 scope 탭에서 recurse, show advanced options는 모두 체크해야 한다.

그림 1-10 Input Vector

Input Vector 탭에서 그림 1-6에서 표시한 부분을 모두 체크한다. HTTP 헤더와 URL, Cookie 데이터를 테스트 할 수 있게 한다.

그림 1-11 Policy

Policy 팁에서 표시한 부분처럼 Apply를 off로 하고 go를 실행한다. 모든 공격을 다 할 필요는 없기 때문에 off로 지정하는 것이다.

그림 1-12 Server Security

목록에서 Server Security로 이동해 Path Traversal을 ThreShold, Strength를 모두 High로 설정한 후 공격을 수행한다.

그림 1-13 웹 로그 탐지

공격을 시작하면 Sguil 엔진에 어떤 공격을 수행하고 있는지 로그가 남게 된다. 많은 수의 로그들이 탐지되고 있음을 확인할 수 있다.

그림 1-14 탐지된 결과 확인

웹 로그 탐지 결과 그림 1-4에서 적용했던 스노트 규칙 패턴대로 잘 탐지되었음을 확인할 수 있다. 기본적으로 ../../../../etc/passwd 로그가 탐지되면 Path Traversal 공격을 의심해 볼 수 있다.

3. Path Traversal 공격 시 가장 많이 탐지되는 로그 패턴

1. /c:%5CWindows%5Csystem.ini 

2. /../../../../../../../../../../../../../../../../Windows/system.ini 

3. /..%5C..%5C..%5C..%5C..%5C..%5C..%5C..%5C..%5C..%5C..%5C..%5C..%5C..%5C..%5C..% 5CWindows%5Csystem.ini 

4. /WEB-INF/web.xml 

5. /%5CWEB-INF%5Cweb.xml 

6. %3A%2FWindows%2Fsystem.ini 

7. %2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2Fetc%2F passwd
8. /etc/passwd 

그림 1-14 실제 탐지된 로그 패턴

Path Traversal 취약점에서 탐지된 로그 패턴이다. Owasp-ZAP 도구로 보고서화 시켜 Notepad++를 활용해 로그를 분석해보면 그림 1-14와 같이 비슷한 패턴이 많이 반복 된다.