[기록일지] 📚 14주차 (File Upload 취약점(≈ Web Shell))

File Upload 취약점

공격자가 원하는 임의의 파일을 업로드 할 수 있는 공격이다.

 

발생 원인

파일을 업로드 받을 때에 검증 · 검사를 안했을 때 발생하게 된다.

일반적으로 파일 업로드의 경우 특정 확장자의 파일만 이용하도록 한다. 하지만 이것을 확인하지 않는 경우에 문제가 발생한다.

ex) 프로필 사진

이미지 파일 전용
(이미지 파일만 받으려 했지만 다른 파일들도 올라가는 문제)

 

발생 위치

파일을 업로드할 수 있는 곳이라면 어디든지 가능하다.

ex) 프로필, 게시판(파일 업로드), 서류 제출, 신분증 사진(은행 앱) 등등..

Burp Suite를 이용하여 어떤 웹 요청이 가는지 확인하고 파라미터(Params)에 파일이 올라가는지 확인해야한다.

 

공격 시나리오

그렇다면 File Upload 공격으로 뭘 할 수 있을까?!

파일 업로드가 있는데 제한이 없다면(Unlimited)?! 여러가지 공격이 가능하다.

DoS (서비스 거부) 공격 / 웹 쉘(Web Shell) / 악성 코드 업로드 / 백도어 / 악성 프로그램 설치 파일

 

1. 서버 측 실행 파일

Server Side Script vs Client Side Script

Server Side Script : 백엔드(php, asp, jsp, python, node.js, etc.)
Client Side Script : 프론트엔드(html, css, javascript)

 

서버 측 실행 파일은 웹 쉘, 악성코드, 악성 프로그램 등등을 예를 들 수 있다.

Web Server - WAS - DB

서버에서 우리가 원하는 코드를 실행할 수 있다.

ex) php를 사용하는 서버라면 - php코드를 서버에서 실행 가능

서버에서 이용된 언어로 만들어진 코드만 해석(실행)이 가능하기 때문에 해당 언어를 이용한 코드를 실행시키는 것이다.

ex) python 파일을 올려도 python이 설치되어 있지 않다면 실행되지 않기 때문

(즉, 공격 서버에 대한 구성 정보가 필요하다.)

서버측 실행 파일을 실행 시키면 어떻게 될까?

내가 서버에 원하는 명령을 내릴 수 있다.
-> 그 서버는 내꺼다.
->-> 그 서버를 장악할 수 있다.

그럼 어떤 방식으로 서버측 실행파일을 실행 시키는 것일까?

test.php

<?php
badCode
?>

위와 같은 코드를 실행시키려고 한다고 생각해보자.

http://domain.com/test.php 

위와 같이 해당 경로에 접속한다면 test.php 파일을 요청하는 것이 된다. 이 경우 서버는 위의 파일 자체를 넘겨주는 것이 아니라 내부에 작성된 내용을 웹 서버에서 실행하게 된다.

파일 자체를 주는 것이 아니라 실행 시켜서 준다는 것이다.

<?php
정말 나쁜 코드
이건 진짜 심각한 코드
?>

서버에 test.php를 요청하는 경우에, 서버는 "내가 처리해야 겠군." 하고 내부의 코드를 전부 실행 시킨 뒤에 결과를 보내준다. 결론적으로 서버에 원하는 코드를 실행 시킬 수 있는 것이다.

 

2. Phishing 유도 : HTML 파일

ex) login.php

공격자 서버로 로그인 정보를 보내게 하는 코드가 있다고 생각해보자.

우리가 만약 일반적으로 많이 사용하는 도메인의 경로에서 위와 같은 이름의 파일이 온다면? 알아 차리기 어려울 것이다. 

naver.com/login.php

위와 같은 경로에서 온다면 의심조차 하지 않는 경우가 많을 수 있다. 이를 이용하여 공격자는 이용자를 피싱 사이트로 유도하여 정보를 빼낼 수 있다.

 

3. Deface 공격

디페이스(Deface) 의 영어 단어는 '외관을 훼손하다' 라는 뜻이다. 이 말 그대로가 바로 디페이스 공격이다.

영어 단어 deface의 의미를 웹사이트에 적용해 보면 이해가 쉽다. 

웹 사이트의 첫 화면, 즉 홈페이지를 해커가 마음대로 바꾸고 해킹을 성공했음을 알리는 공격 형태를 말한다. 

index 파일 (덮어쓰기) - 첫 화면을 변조

'화면 변조' 공격이라고 불리는 그것이다.

변조에 사용되는 가장 일반적인 방식으로는 관리 권한을 얻게 해주는 SQL 삽입이 있으며, 또 다른 방식으로는 사용자 이름과 비밀번호가 획득된 경우에 FTP를 통해 이루어 질 수 있다.

디페이스 공격(변조들)은 일반적으로 전체 페이지에서 이루어지지만, 대부분의 경우에 변조는 위험하지 않고 단지 크래커들이 기술을 뽐내거나(해킹을 성공했다는 과시용) 핵티비즘(정치적 메시지를 전달 )을 위한 경우가 많다.

그러나 악성 코드 업로딩이나 서버의 중요 파일 삭제 같은 더 해로운 행위를 가리기 위해 주의를 분산할 목적으로 사용되기도 한다. 그러므로 공격을 당했을 때 피해가 심각하지 않더라도 웹사이트의 보안이 취약하다는 것이므로 위험을 인지하고 관련 조치를 취해야 한다.

 

핵티비즘(hacktivism) 공격

핵티비즘은 정치 · 사회적 목적을 이루기 위해 해킹하거나 목표물인 서버 컴퓨터를 무력화 시키고, 이런 기술을 만드는 운동을 말한다. '해커'와 정치 행동주의를 뜻하는 '액티비즘(Activism)'의 합성어로 단순히 컴퓨터 보안장치를 풀고 침입하는 해커와는 차이가 있다.

 

4. XSS

Stored XSS

메인 페이지를 덮어쓸 수 있다면?!

<script>
원하는 공격
</script>

위와 같은 원하는 공격을 삽입한 스크립트만 추가하여 메인페이지를 덮어쓰는 공격이 가능하다.

 

5. DoS

과도한 파일 업로드를 통해 DB / 서버를 마비시킬 수 있다.

---

서버측 실행 파일 - Web Shell

웹 쉘(Web Shell)

파일 업로드 공격 = 웹 쉘 공격 이라고 본다.

(명확히 말하면 다르지만 흔히하는 공격이 웹 쉘(Web Shell) 공격이기 때문에 흔히 같다고 이야기 한다.)

도스 공격과 디도스 공격이 같은 것이 아니고, 도스 공격에서 디도스 공격이 파생된 것이지만 도스 공격의 주된 공격이 디도스 공격이기 때문에 같다고 보는 것과 같은 것이다.

쉘(Shell)이란? 명령어를 입력하면, 그 입력을 받아 처리하고 결과를 보여주는 인터프리터이다.

php 코드로 예를 들어보자.

webshell.php

<?php
echo system($_GET['cmd']);
?>

(여기서 조금 더 정확히 말하자면 system 자체가 cmd 창을 의미한다.)

php 파일을 올리고, 업로드된 경로로 이동한다면 이것은 해당 파일을 요청한다는 것이다.

그럼 위의 webshell.php 파일을 넣어준다면?

/webshell.php?cmd=pwd

위와 같이 입력하면 해당 cmd에서 pwd 명령을 실행할 수 있게 된다.

여기서 권한 상승 취약점을 이용한다면?!

권한 상승을 위해 권한 상승 취약점이 있는 코드를 또 업로드해서 웹 쉘에서 실행 시키는 방법이 가능해진다. 

하지만 이 영역 이후로는 침투 테스트(Penetration Testing)의 영역에 해당한다.

「웹 쉘을 취득하는 것 까지」 가 취약점을 찾는 웹 해킹의 영역이다.

그래서 웹 모의 해킹 진행시에는 만약 id를 입력했을 때 root인 것이 확인되는 경우, 엔진의 실행 권한을 root로 하지 말라고 보고서에 작성하는 정도는 할 수 있다.

(취약점 / 권고사항을 정하는 것은 테스터의 영역이다.)

Exploit(악용)에는 범주가 없지만, 모의 해킹의 영역은 어느정도 수준에서 그치는 것이다.

웹 해킹
파일 업로드(file uplaod) 취약점이 존재하는지 여부
(web shell이 올라가는 것이 가능한지 까지)

침투 테스트의 영역
> shell
> root 권한

---

웹 쉘 공격의 핵심

1. 웹 서버 측 실행 코드를 업로드

웹 서버 측 실행 코드(해당 서버의 실행 언어)를 업로드 할 수 있어야한다.

언어의 종류를 해당 웹을 살펴보면 알 수 있다.(웹 서버에서 이용하는 언어에 맞춰서 올리면 된다.)

ex) jsp - java (컴파일 해서 class 파일을 올리기도 한다)

해당 서버에서 실행 시킬 수 있는 코드를 올리면 된다는 것이다.

 

2. 업로드된 파일의 경로

업로드된 파일의 경로를 알아야한다.

하지만 업로드 되는 경로를 친절하게 알려주는 사이트는 없다고 봐도 무방하다.

그렇다면 어떤식으로 알아낼까?

업로드 경로 확인

업로드된 파일이 출력되는 곳을 확인한다. (다운 받거나 출력이 되는 곳)

이미지라면? 이미지를 우클릭하여 이미지 주소 복사를 하고 붙여넣어보면 경로를 확인 가능하다.

ex) image

업로드된 image가 출력
-> 이미지를 우클릭
-> 이미지 주소 복사
-> 붙여넣기 후 경로 확인

그렇다면 여기서 웹쉘(Webshell.php)을 넣어준다면?

그냥 요청한다면 결과가 나오지 않을 것이다. 필요한 파라미터를 넣어주지 않았기 때문인데, 여기에 cmd 에 입력할 파라미터를 넣어주어 웹쉘로서 접근이 가능하다.

업로드한 파일의 경로를 알아내야 하는 이유는 무엇일까?

php로 된 랜섬웨어 파일을 만들어서 업로드 했다고 생각해보자.

해당 경로를 찾아서 파일을 요청하면 서버에서 랜섬웨어가 실행될 것이다.

하지만 올리는 것 만으로는 그 누구도 실행할 수 없다. 요청을 해야 실행되는 것이다. (요청을 하려면 경로를 알아야한다.)

파일 업로드
-> 업로드 경로를 알아야 요청이 가능
-> 요청을 해야 실행 시키는 것이 가능

즉, 파일이 업로드된 경로를 알고 해당 경로로 요청을 해야 실행 시킬 수 있기 때문이다.

 

이 방식은 서버 측 실행 파일이기 때문에 다른 사람의 컴퓨터를 공격하는 것이 아니고 서버를 공격하는 것임을 인지해야 한다.

XSS, CSRF : Client 공격. 해당 서버를 이용하는 이용자들을 공격하는 것

SQL Injection, Web Shell : Server 공격 서버 자체를 공격

---

파일 업로드 대응 (약한 대응 기법)

 

파일 형식 제한

업로드 취약점을 막기 위해서 업로드 되는 파일을 검사하고 제한하는 것이다.

MIME (파일 형식 제한)

해당하는 파일 형식(Content-Type)을 검사한다.

ex) Content-Type : text/php

Content-Type 변조

하지만 이것은 업로드할 때 Burp Suite Proxy에서 파일 형식을 바꾸어서 업로드가 가능한 우회기법이 있기 때문에 제대로된 대응이라고 볼 수 없다.

 

실행 권한 제거

(웹 서버 입장에서) "아.. 이게 실행하는게 문제구나!" 라는 생각에, 그럼 여기 있는 파일은 실행 하지마! 라고 할 수 있다.

웹 서버의 설정에서 해당 경로의 파일의 실행 권한을 없애는 것이다.

/files/~/~~

위와 같이 업로드되는 파일이 저장되는 디렉토리의 실행 권한을 없애는 것이다.

그럼 파일이 실행되지 않고 내용이 그대로 보여진다. 하지만 이것을 우회하는 방법이 존재한다.

파일명 자체를 이용하는 것이다.

Path traversal

../webshell.php

위와 같이 상위 디렉토리로 가는 ../ 를 기존의 파일명 앞에 넣어 저장하여 기존에 저장되는 디렉토리 보다 상위 디렉토리에 저장되게 하는 것이다.

파일에 경로를 포함시키는 것이다. 이것을 경로 탐색 취약점(path traversal)이라고 볼 수 있다.

 

확장자 제한

그렇다면 php (실행되는 확장자(File Extension))를 못 쓰게하면 되는것이 아닐까? 라는 생각을 할 수 있다.

하지만 php 하나만을 못쓰게 한다고 해결되지 않는다. 이전에 확인했던 취약점들 처럼 대소문자로도 우회가 된다.

PhP, pHp pHP.....

그럼 대소문자까지 제한하면되는 것이 아닐까?

그렇다면 다른 확장자를 쓰는 방식이 존재한다. php라고 무조건 .php 만 이용해야하는 것은 아니라는 것이다.

* php - .phtml, .php3, .php5 (자매품...)
* jsp - jspx, jsw

기존의 확장자의 자매품(다른 확장자) alternative extension들을 쓸 수 있다.

---

가장 많이 사용하는 우회 방법

앞서 봤듯 다양한 우회 기법이 존재하는 만큼 파일 검사를 상당히 지독하게 하는 경우가 많다.

이것을 우회하는데에 가장 많이 사용되는 방법은 hex code를 이용하는 것이다.

Hex Code(File Signature)

1. 정상적인 이미지를 하나 받는다.
ex) gear.png
2. hex editor를 사용하여 gear.png를 연다.
3. 그 끝에다가 원하는 코드를 삽입한다.
ex) <?php system($_GET['cmd']); ?>
4. 위와 같이 바꾸어주거나 / 뒤에 삽입한 뒤 저장한다.
5. 실행코드는 삽입된 상태지만 File Signature를 그대로 쓸 수 있다.
jpef, png, pdf ... (파일 시그니처는 앞부분이기 때문.)

파일 시그니처를 그대로 이용하면서 원하는 코드를 삽입하는 방식이 가능해진다.

주의할 점(잘못된 지식)

File Signature ≠ 확장자

webshell.png라고 하면 돌아가지 않는다.
webshell.php와 같이 해당 서버의 언어의 확장자여야한다.

file signature를 이용하는 것이지 확장자를 .png로 설정하는 것이 아니다. 그러면 실행이 안되기 때문이다.

그림 웹쉘

그림 파일 웹쉘 이라는 webshell.png 인데도 실행되는 경우가 있다.

그럼 위에서 본 확장자 설정은 무엇이지? 라는 생각을 할 수 있다. 하지만 이것은 파일 업로드 취약점이 아닌 다른 취약점이라는 사실을 인지해야한다. (찾아보고 생각해보고 연구해보고 추후에 정리하도록 해야겠다.)

결론은 잘못된 사실로서, 아이러니하게도 오류라고 한다.

이중 확장자

webshell.php.png 와 같이 확장자를 겹쳐 쓴다고 해도 가장 뒤의 확장자만 인식하기 때문에 이중확장자도 실행시키지 못한다.

---

모의 해킹시 주의할 점

모의 해킹을 진행할 때에 파일 업로드 취약점을 찾는 경우 주의할 점이 있다.

"웹쉘을 올리면 안된다.!" 라는 것이다.

웹 쉘을 함부러 올리는 행위는 노매너에 해당한다.

신사적인 방법으로 해야한다.

테스트할 때, 웹쉘을 올리는 이유를 생각해봐야한다. 업로드한 파일을 실행할 수 있는지 체크하는 것이 본래의 목적이라는 것이다. 그러므로 POC 코드를 이용해야한다는 것이다. 

목적을 잊어서는 안된다.

 

POC

<?php
echo "hello";
?>

실행된다면 hello만 출력될 것이고, 실행되지 않는다면? 전부다(코드가 그대로) 나올 것이다.

따라서 위의 코드가 실행되는지의 여부를 확인하고, 실행된다는 것이 확인된다면?

협의를 통해 추후 진행 여부를 결정한다.

"실행 취약점이 확인되었습니다."
"웹쉘을 올려서 추가적인 취약점을 확인해 볼까요?"

라고 물어보는 것이 매너이다.

담당자의 답변에 따라 진행 여부를 결정하면된다.

소스 코드를 볼 수 있기 때문에 추가적인 취약점을 찾을 수 있기 때문이다.(보이지 않던 SQL Injection이 추가적으로 발견될 수도 있다.)

 

주의!

web shell의 경우 테스트 직후에 바로 삭제해야한다.

담당자에게 삭제 요청을 해야한다는 것이다. 어떻게 보면 백도어와 마찬가지이기 때문이다.

삭제 요청 후, 이후에 삭제되었는지 확인하고 안되었다면 다시 요청해야한다.

---

질문 환영, 수정 및 보완에 대한 지적 환영