'웹 취약점 탐지 및 분석'에 해당되는 글 9건

1. Remote OS Command Injection 취약점이란?

- 운영체제 명령어 삽입 취약점으로 변수 값의 검증 미흡으로 발생하는 취약점

- 운영체제 명령어 삽입으로 인해 파일 목록 등이 유출될 수 있어 심각한 취약점으    로 분류됨

2. Remote OS Command Injection 취약점 탐지 실습

그림 2-1 local.rules

Security Onion을 실행해 /etc/nsm/rules 폴더로 이동한 후 vim을 활용해 local.rules를 실행한다.

그림 2-2 스노트 규칙 작성

local.rules 파일에 스노트 규칙을 작성한다. 외부 아이피 주소에서 웹 서버 주소로 전달해주며 메시지는 Remote OS Vulerability in URI로 출력되며 PCRE 정규화 표현식을 적용한다. I 옵션은 정규화 되지 않은 URI 디코딩한 문자열과 패턴이 매치된다. 공격 로그는 PCRE 정규화 표현식에 의해 &cat /etc/passwd&로 탐지될 것이다.

그림 2-3 rule-update

local.rules 파일 저장 후 스노트 규칙을 업데이트한다. Fail이 출력되면 스노트 규칙 적용이 안되기 때문에 OK가 나올때까지 스노트 규칙을 수정 해야 한다.

그림 2-4 rule-set 업데이트

rule-update만 하게 되도 스노트 룰 적용이 안될 수 있기 때문에 rule-set도 같이 업데이트 한다. 모두 OK가 나오면 스노트 규칙이 정상적으로 적용된 것이다.

그림 2-5 sguil 실행

스노트 규칙 적용 후 sguil을 실행한다. sguil을 통해 Remote OS Command Injection 공격 취약점이 탐지된다.

그림 2-6 프록시 설정

칼리리눅스에서 Preference-> Advanced로 가서 프록시 설정을 한다. 127.0.0.1을 입력하고 OK를 누른다.

그림 2-7 DVWA Commmand Execution

DVWA를 실행시켜 보안 레벨을 Low로 낮춘 후  Commmand Execution을 실행시켜 127.0.0.1&cat /etc/passwd를 입력하고 submit한다.

그림 2-8 Sguil 탐지

Submit을 하면 Sguil에서 Remote OS  Command Injection 공격을 탐지한다. 

그림 2-9 스노트 규칙 

그림 2-2에서 입력한 스노트 규칙도 확인 가능 하다.

그림 2-10 submit 로그

그림 2-7에서 보낸 정보를 탐지한 로그다. 127.0.0.1&cat /etc/passwd에 스노트 규칙에 의해 정규 표현식이 적용되 변환되서 탐지됐음을 볼 수 있다.

1. Persist XSS 공격이란?

- 지속 가능형 XSS 공격, Stored XSS 공격이라고도 불림

- 데이터베이스에 기록되어 지속적으로 노출하는 방식의 공격

- 주로 게시판, 방명록, 댓글에서 발생

2. 스노트 규칙을 활용한 Persist XSS 공격 탐지 실습

그림 2-1 local.rules

Security Onion을 실행해 /etc/nsm/rules 폴더로 이동한 후 vim을 활용해 local.rules를 실행한다.

그림 2-2 스노트 규칙 작성

local.rules 파일에 스노트 규칙을 작성한다. 외부 아이피 주소에서 웹 서버 주소로 전달해주며 메시지는 Persistent XSS in POST로 출력되며 script%3e와 관련된 내용과 클라이언트 바디에서 탐지되고, 공격 형태는 web-application-attack이다.

그림 2-3 rule-update

local.rules 파일 저장 후 스노트 규칙을 업데이트한다. Fail이 출력되면 스노트 규칙 적용이 안되기 때문에 OK가 나올때까지 스노트 규칙을 수정 해야 한다.

그림 2-4 rule-set 업데이트

rule-update만 하게 되도 스노트 룰 적용이 안될 수 있기 때문에 rule-set도 같이 업데이트 한다. 모두 OK가 나오면 스노트 규칙이 정상적으로 적용된 것이다.

그림 2-5 sguil 실행

스노트 규칙 적용 후 sguil을 실행한다. sguil을 통해 Persist XSS 공격 취약점이 탐지된다.

그림 2-8 공격 패턴 탐지

자세한 탐지 기록을 확인해보면 script%3e가 그림 2-2에서 적용한 스노트 규칙에 따라 탐지가 잘 되었음을 볼 수 있다. 그림 2-6에서 보낸 공격 정보를 Sguil에서 탐지한 것이다.

3. XSS 공격의 대표적인 로그 패턴

1. ><script>alert(1);</script>

2. "><script>alert(1);</script>

3. ‘”<script>alert(1);</script>

4. <pre><script>alert(1);</script></pre>

5. <div><script>alert(1);</script></div>

6. </td><script>alert(1);</script><td>

7. </p><script>alert(1);</script><p>

8.</h2><script>alert(1);</script><h2>

9. javascript:alert(1);

1. Directory Browsing 이란?

- 디렉터리 브라우징, 디렉터리 리스팅이라고 불림

- 보안 설정으로 활성화, 비활성화 가능

- 활성화(보안 레벨 LOW)된 경우 웹 서버 디렉터리 목록을 노출

- 디렉터리 안에 중요 정보가 있다면 매우 심각한 취약점임

2. 스노트 규칙을 이용한 Directory Browsing 탐지 실습

[그림 2-1] local.rules

Security Onion을 실행해 /etc/nsm/rules 폴더로 이동한 후 vim을 활용해 local.rules를 실행한다.

[그림 2-2] 스노트 규칙 작성

local.rules 파일에 스노트 규칙을 작성한다. 웹 서버 주소에서 외부 아이피 주소로 전달해주며 메시지는 Directory Browsing Vuln으로 출력되며 index of / 와 관련된 내용이 탐지되고, 공격 형태는 web-application-attack이다.

[그림 2-3 rule-update]

local.rules 파일 저장 후 스노트 규칙을 업데이트한다. Fail이 출력되면 스노트 규칙 적용이 안되기 때문에 OK가 나올때까지 스노트 규칙을 수정 해야 한다.

[그림 2-4] rule-set 업데이트

rule-update만 하게 되도 스노트 룰 적용이 안될 수 있기 때문에 rule-set도 같이 업데이트 한다. 모두 OK가 나오면 스노트 규칙이 정상적으로 적용된 것이다.

[그림 2-5] sguil 실행

스노트 규칙 적용 후 sguil을 실행한다. sguil을 통해 디렉터리 리스팅 취약점이 탐지된다.

[그림 2-6] DVWA 디렉터리 리스팅 

칼리리눅스로 돌아와 DVWA를 실행한다. DVWA는 metasploitable 2 환경이기 때문에 metasploitable 2도 같이 실행해야 DVWA가 실행된다. 한가지 주의해야 할 점은 DVWA 보안 강도를 LOW로 설정한 후 진행해야 한다. HIGH로 설정하면 디렉터리 리스팅이 화면에 나타나지 않는다. 설정을 끝낸 후 IP/dvwa/vunerablities/를 입력하면 그림 2-6와 같이 웹 서버 디렉터리가 출력된다.

[그림 2-7] 디렉터리 리스팅 탐지

Sguil에서 디렉터리 리스팅을 탐지해낸 것을 볼 수 있다. 

[그림 2-8] 스노트 규칙

그림 2-2에서 적용 했던 스노트 규칙이다. content에 입력한 index of / 내용과 관련된 파일이 존재하기 때문에 탐지된 것이다.

1. Cross site Scripting 이란?

- 주로 웹 어플리케이션에 악성스크립트를 삽입해서 공격하는 기법이다.

- 사용자 세션을 탈취하거나 권한을 획득, 사이트 변조등과 같은 악의적인 목적으로 사용될 수 있다.

- 주로 XSS공격은 2가지로 분류가 가능한데 Reflected방식과 Stored방식으로 분류할 수 있다. 주로 반사형방식은 서버로 내용들이 전송되지 않고 페이지 자체에서 받는 방법을 사용하게 되는데 링크로 접근할시 노출이 된다. Stored방식은 서버에 있는 DB에 악성스크립트를 심어서 사용자가 그걸 클릭하게 되면 자동으로 저장된 악의적인 코드가 동작이 되게 하는 방식이다. 주로 게시판이나 댓글 같은 곳에 많이 사용되는 공격 기법이다.

<Reflected 취약점의 예시>

URL에 seok라는 글자만 추가해줘도 저런식으로 공격이 발생할 수 있다. 링크를 이용한 공격이다.

<Reflected 취약점을 이용한 악성자바스크립트 삽입 공격>

name뒤에 alert라는 경고창 메시지를 삽입해서 이런식으로 공격이 가능하게 된다.

<stored 취약점을 활용한 공격 방식>

이처럼 게시판, 댓글을 사용해서 악의적인 스크립트를 DB에 삽입시키고 공격하는 수법이 Stored 방식이다. 한번 공격을 하고 나면 계속 흔적이 남아있어 지속형 공격이라고도 불린다.

2. 취약점 로그 패턴 분석

ZAP툴에서 XSS라고 이름을 지정해놓고 보고서툴을 만들어서 액티브스캔을 시켜준다. vulnerabilities 취약점을 활용한 것이기 때문에 여기다가 액티브 스캔을 해서 로그를 추출한다.

정상적으로 추출이 되었으면 이런식으로 <script>alert</script>와 같은 방식으로 추출이 됨을 볼 수 있다. 

ZAP 툴에서 보고서형식으로 저장해서 로그를 추출해보면 다음과 같이 많은 패턴들을 볼 수 있다. 우선 추출해본 패턴은 다음과 같다.

- ><script>alert(1);</script>
- "><script>alert(1);</script>
- ‘”<script>alert(1);</script>
- <pre><script>alert(1);</script></pre>
- <div><script>alert(1);</script></div>
- </td><script>alert(1);</script><td>
- </p><script>alert(1);</script><p>
- </h2><script>alert(1);</script><h2>
- javascript:alert(1)

하지만 스구일툴에는 추출되지 않은 패턴들이 있어서 새로운 스노트규칙을 적용해서 추출해줘야 찾은 규칙들이 탐지가 됨을 알 수 있다. 

3. 새로운 스노트 규칙 적용하기

일단 javascript:alert(1)에 대해서 로그결과를 추출해내기 위해 사진과 같이 스노트 규칙을 정해주었다. 기존보다는 조금 추가된부분도 있긴 한데 큰차이는 없다. 하지만 http_client_body와 http_uri의 차이점은 분명히 존재한다. http_uri는 <script>라는 문자열값을 넣으면 그대로 인식해서 탐지가 가능하지만 http_client_body는 <script>라는 문자열을 인식하지 못해 탐지하지 못한다. 그렇기 때문에 %3C와 같은 16진수 문자열 값으로 content값을 넣어주는 것이다. 이렇게 적용하고 sudo rule-update를 시켜 규칙을 적용시킨다.

다시 스캔을 시켜 탐지해보면 사진과 같은화면이 나오게 된다. 내용을 보면 상단부분에 javascript라는 문구가 탐지되었음을 알 수 있다. http_uri를 적용시킨 결과이다.

1. Remote OS Commnad Injection 개념

- 원격에서 명령어를 삽입할 시 나타나는 취약점이다.

- 웹에서 사용한 쉘 명령어 함수를 2차검증을 하지 않고 그냥 실행시켰을 때 나타나는 취약점이다.

- 검증하지 않으면 &, ;, | 등과 같은 기호로 명령어 사용이 가능해진다.

- 웹 페이지에 파일 경로들이 노출되게 되는 위험한 취약점이라고 볼 수 있다.

2. Remote OS Commnad Injection 로그 및 패턴추출

먼저 액티브 스캔을 시켜준다. ZAP툴에서 Remote OS Command Injection이라고 보고서 툴에서 추가해서 만들어주고 액티브 스캔을 시킨다. injection항목들을 잘 확인하고 추출해야 올바른 결과값이 나온다.

사진처럼 Remote OS Command의 로그를 추출해보면 무수히 많은데 어떤 패턴이 사용되었는지 알아보는 것이 가장 중요하다. 많은 패턴이 있었지만 15개정도로 추려서 뽑아본 목록은 아래와 같다. 보고서양식으로 추출해서 노트패드로 추출한 결과이다.

- &cat%20/etc/passwd&
- ;cat%20/etc/passwd;
- %22&cat%20/etc/passwd&%22
- %22;cat%20/etc/passwd;%22
- '&cat%20/etc/passwd&'
- ';cat%20/etc/passwd;'
- &sleep%205s&
- ;sleep%205s;
- &sleep%20%7B0%7Ds&
- ;sleep%20%7B0%7Ds;
- %22&type%20%25SYSTEMROOT%25%5Cwin.ini&%22
- &type%20%25SYSTEMROOT%25%5Cwin.ini
- %7Ctype%20%25SYSTEMROOT%25%5Cwin.ini
- '&type%20%25SYSTEMROOT%25%5Cwin.ini&'
- '%7Ctype%20%25SYSTEMROOT%25%5Cwin.i

추출해보면 스구일 툴에서도 이런식으로 결과가 나왔다는 것을 볼 수 있다. 하지만 내가 원하는 결과값으로 나오지는 않았다. cat /etc/passwd와 같은 규칙들은 나왔으나 다른 규칙들은 잘 나오지가 않았다. 그래서 스노트규칙을 활용해서 규칙들을 추가해주었다.

3. 탐지 안된 패턴들 규칙 적용하기

이런식으로 스노트 규칙을 추가해주었다. 외부ip에서 내부 ip로 들어온다는 규칙은 똑같지만 content쪽에서 규칙이 적용되었다. 여러가지 리눅스 명령어를 추가하고 /, \등 현재 찾은 규칙에 맞게 스노트규칙들을 적용해주었다.

그리고 sudo rule-update명령을 활용해서 새로적용한 룰을 업데이트 시켜준다.

그리고 나서 다시 ZAP툴로 탐지를 시켜서 결과를 확인해보면 아까 탐지가 안되었던 부분들도 탐지가 되고 있으며 헤더와 URI로 나누어서 잘 탐지가 되었음을 볼 수 있다. 이처럼 PCRE명령어를 잘 사용하면 \,/,띄어쓰기 등을 탐지할 수 있다. 아까 추가한 cat, type, dir등이 있는데 이 부분에 다른 sleep과 같은 명령어를 써주면 탐지해낼 수 있다.

도구로 탐지를 하다보면 사용자가 발견한 규칙들중에서 탐지가 안될경우가 종종 있다. 그럴때는 스노트 규칙을 사용해서 수동으로 탐지해 줄 수 밖에 없다. 그래서 사용되는 것이 스노트 규칙이다.

1. 스노트규칙 경로

- 스노트 규칙 경로는 cd /etc/nsm/rules이다. local.rules에 가서 스노트규칙을 추가하거나 수정이 가능하다.

- 스노트 규칙은 원하는 규칙이 탐지가 안될 때 많이 쓰이는 규칙이기 때문에 스노트 규칙 기호, 옵션 등을 잘 알아놔야 한다.

2. 스노트 규칙 구조

<사진출저: 보안프로젝트>

- $EXTERNAL_NET any -> $HOME_NET any는 외부주소에서 내부주소의 모든 ip를 가지고 오겠다는 의미이다. 이 때 any는 모든 것이라는 의미를 가지게 된다.

- msg, content, classtype, sid, rev순으로 구조순서를 갖게 된다. 

- 보통 content, rev 등은 규칙을 정할 때 항상 쓰이는 것이기 때문에 어떤 기능을 하는지 잘 알아놔야 규칙을 정할 때 편하다.

3. 가장 많이 쓰이는 스노트 규칙 헤더

- Alert: 패킷의 정보를 로그에 기록하고 사용자가 확인이 가능하게 경고를 출력해준다. 규칙을 정할 때 필수적으로 들어가는 규칙헤더 중 하나이다.

- Log: 패킷의 정보를 로그파일에 기록할 때 쓰이는 규칙헤더이다. 아주 많이 쓰이지는 않지만 알아두면 좋은 규칙헤더이다.

- $EXTERNAL_NAT: 외부 ip 주소 변수. 

- $HOME_NAT: 내부 ip 주소 변수.

- $HTTP_SERVERS: 웹 서버의 주소 변수. 네트워크 취약점 탐지시 많이 사용되는 규칙이다.

- any: 모든 포트를 의미한다. any도 거의 필수 규칙 헤더 중 하나이다.

- ->: 송신지에서 수신지로 간다는 의미이다. 

4. 가장 많이 쓰이는 스노트 규칙 옵션

- msg: 경고 이벤트를 나타낼 때 쓰는 메시지

- sid: 스노트 규칙을 구별할 때 쓰인다. 모든 규칙은 식별 번호를 갖게 된다. ex) sid:2000001;

- rev: 해당 규칙에 대한 버전, 버전이 하나 증가할 때마다 1이 더해진다.

- content: 탐지할 패턴을 정하는 옵션. 스노트 규칙 작성할 때 가장 중요한 부분 중 하나이다.

- nocase: 대소문자 구분없이 탐지하겠다는 옵션.

- http_uri: 페이로드에서 URI 값을 매칭시켜주는 옵션.

- http_header: HTTP 요청/헤더 값에서 패턴매칭을 시도하는 옵션.

5. 스노트 규칙 적용법

스노트 규칙을 만들고 나서 그 규칙을 적용시켜 줘야 하는데 sudo rules-update라고 명령어를 입력해주면 사진과 같은 화면이 나오게 된다. 하지만 스노트 규칙을 정하다가 에러가 발생하게 되면 수정을 해주어야 하는데 수정하고 나서는 sudo rules-update 명령어를 입력하는게 아니라 sudo --sensor --restart --only-snort-alert라는 명령어를 써줘야 수정된 값이 적용되므로 이것만 참고해서 스노트 규칙을 적용시켜주면 된다.

1. Path Traversal 이란?

Path Traversal은 웹 루트 디렉토리 외부에 저장된 파일 및 디렉토리에 접근하는 기법이다. 경로 탐색 취약점이라고도 불리며 절대경로(../)를 사용해 접근한다. 

2. 탐지된 이벤트 분석

그림 1-1 프록시 설정

FireFox에 접속해 Preference 탭에 가서 Advanced탭에 Settings에서 프록시 설정을 한다. IP는 127.0.0.1, PORT는 8080을 입력하고 OK를 누른다.

그림 1-2 Owasp-Zap 도구

웹 진단을 위해 Owasp-Zap 도구를 사용한다. 진단할 대상의 사이트인 DVWA에 접속만 해도 Owasp-Zap 도구에서 탐지해낸다. DVWA는 metasploitable 2를 설치하고 칼리리눅스에서 해당 IP에 접속하면된다. 일부러 취약하게 만들어놓은 환경이기 때문에 웹 진단 실습 공부에 최적의 환경이다.

그림 1-3 sguil 엔진

Secutiry Onion에서 sguil 엔진을 실행한다. username과 password를 입력하고 로그인한다.

그림 1-4 securityonion.conf

cd /etc/nsm으로 이동해 securityonion.conf 파일을 실행한다. 

그림 1-5 Local hids rule tuning 

Local hids rule tuning을 yes로 지정하고 저장한다. 설정을 하지 않을 경우 인터넷 오동작으로 인해 스노트 규칙 업데이트에 실패한다.

그림 1-6 스노트 규칙

리눅스 창을 열어 cd /etc/nsm/rules 폴더로 이동해 local.rules 파일을 열고 그림 1-4와 같이 작성한다. 공격명은 Path Traversal이고 공격 패턴은 ../../../../etc/password다. 

그림 1-7 rule-update

스노트 규칙을 작성하고 저장한 후 sudo rule-update 명령어를 통해 변경된 스노트 규칙을 업데이트한다. 

그림 1-8 snort rule set 적용

실행을 통해 OK가 나와도 스노트 룰셋을 잘못 작성했을시 규칙이 적용이 안될 수 있기 때문에 sudo nsm --sensor --restart --only-snort-alert 명령어도 같이 실행해 OK가 나오는지 확인한다. 

그림 1-9 Active Scan

그림 1-2에서 스캔한 DVWA 사이트 IP에서 오른쪽을 클릭해 Attack-ActiveScan을 한다. 이 때 scope 탭에서 recurse, show advanced options는 모두 체크해야 한다.

그림 1-10 Input Vector

Input Vector 탭에서 그림 1-6에서 표시한 부분을 모두 체크한다. HTTP 헤더와 URL, Cookie 데이터를 테스트 할 수 있게 한다.

그림 1-11 Policy

Policy 팁에서 표시한 부분처럼 Apply를 off로 하고 go를 실행한다. 모든 공격을 다 할 필요는 없기 때문에 off로 지정하는 것이다.

그림 1-12 Server Security

목록에서 Server Security로 이동해 Path Traversal을 ThreShold, Strength를 모두 High로 설정한 후 공격을 수행한다.

그림 1-13 웹 로그 탐지

공격을 시작하면 Sguil 엔진에 어떤 공격을 수행하고 있는지 로그가 남게 된다. 많은 수의 로그들이 탐지되고 있음을 확인할 수 있다.

그림 1-14 탐지된 결과 확인

웹 로그 탐지 결과 그림 1-4에서 적용했던 스노트 규칙 패턴대로 잘 탐지되었음을 확인할 수 있다. 기본적으로 ../../../../etc/passwd 로그가 탐지되면 Path Traversal 공격을 의심해 볼 수 있다.

3. Path Traversal 공격 시 가장 많이 탐지되는 로그 패턴

1. /c:%5CWindows%5Csystem.ini 

2. /../../../../../../../../../../../../../../../../Windows/system.ini 

3. /..%5C..%5C..%5C..%5C..%5C..%5C..%5C..%5C..%5C..%5C..%5C..%5C..%5C..%5C..%5C..% 5CWindows%5Csystem.ini 

4. /WEB-INF/web.xml 

5. /%5CWEB-INF%5Cweb.xml 

6. %3A%2FWindows%2Fsystem.ini 

7. %2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2Fetc%2F passwd
8. /etc/passwd 

그림 1-14 실제 탐지된 로그 패턴

Path Traversal 취약점에서 탐지된 로그 패턴이다. Owasp-ZAP 도구로 보고서화 시켜 Notepad++를 활용해 로그를 분석해보면 그림 1-14와 같이 비슷한 패턴이 많이 반복 된다.

OWASP-ZAP을 이용한 웹 취약점 탐지 실습이다. 내용설명보다는 실습내용 위주로 포스팅을 했다.

1. DVWA의 사이트 맵 획득하기.

먼저 익스플로러와 OWASP-ZAP, 메타스플로잇 터블과 연동될 수 있도록 네트워크 설정을 해주어야 한다. OWASP-ZAP의 주소와 포트를 보고 인터넷 옵션->연결로 가서 프록시서버 네트워크를 맞춰준다.

자신의 IP주소를 입력했을때 익스플로러 창에 이런식으로 메트스플로잇이 화면에 출력되면 정상적으로 동작되는 것이다. 이 때 vmware에 설치한 메타스플로잇 터블을 실행시켜놔야 한다.

DVWA를 실행시켜 admin, password를 입력해 로그인해주면 다음과 같은 창이 뜨는데 DVWA의 보안을 가장 낮은 low로 설정해주고 Brute Force탭으로 가서 이름과 비밀번호에 아무거나 입력해준다.

탐지된 정보들을 보면 빨간색으로 표시를 해놨는데 Vuluribility라는 폴더가 탐지되었을 것이다. 이 폴더를 열어보면 여러가지 파일들이 탐지되었음을 알 수 있다. 정상적으로 DVWA의 사이트 맵을 획득하였음을 알 수 있다.