[DVWA] Command Injection

Vulnerability: Command Injection

커맨드 인젝션 (Command Injection)에 대한 Prcatice 이다.

Command Injection은 웹 요청 메시지에 임의의 시스템 명령어를 삽입하고 전송, 웹 서버에서 해당 명령어를 실행하도록 하는 공격이다.

(웹에서 시스템 명령어(command)를 입력하는 부분에서 추가적인 명령어의 실행을 통해 공격하는 것이다.)

Vuln Point

웹 애플리케이션 내부에서 시스템 명령어를 실행하는 상황에서 입력값에 대한 적절한 검사 없이 시스템 명령어의 일부분으로 전달하는 경우, 공격자가 입력값을 조작하여 임의의 시스템 명령어를 실행할 수 있다.

Vuln Example

DVWA의 예시와 같이 사용자가 IP 주소를 입력했을 때 웹 서버에서 ping 명령어를 실행하고 결과를 반환하는 웹 페이지가 있다고 해보자.

ping: 입력된 IP 주소의 시스템이 현재 동작 중인지 확인하는 명령어

ping 명령어가 실행되는 과정을 확인해보면 다음과 같다.

위의 과정에서 웹페이지가 사용자가 입력한 값에 대하여 제대로 검사를 하지 않는다면, 공격자는 IP주소 뒤에 다른 시스템 명령어를 추가로 입력하여 웹 서버에서 원하는 시스템 명령어를 사용할 수 있게된다.

해당 과정을 살펴보면 다음과 같다.

IP 주소 입력시 원래 실행되어야 하는 ping 명령어와, 공격자가 입력한 명령어(command)가 같이 실행되는 것이다.

(위의 과정이 커맨드 인젝션(Command Injection) 취약점을 이용하여 시스템 명령어를 추가적으로 입력했을 때 발생하는 것이다.)

만약 공격자가 ip 주소 뒤에, cat ../../../../../../etc/passwd 와 같은 명령어를 추가하는 경우, 웹 서버는 ping 명령어와 cat 명령어를 모두 실행한 결과를 공격자에게 전달(return)하게 된다. 결과적으로 공격자는 원하는 명령어를 추가적으로 입력함으로써 해당 정보를 빼올 수 있게 되는 것이다.

 

명령어 연결 - 특수문자

공격자가 입력값을 통해 원하는 명령어를 실행하기 위해서는 복수의 명령어를 실행하는 특수문자를 사용해야한다.

&는 유닉스 계열에서는 뒷면 작업(background job)이다. 윈도우에서는 명령어가 하나씩 실행되는 순차적 연결형으로 해석한다. #의 뒷부분은 대부분의 쉘에서 주석으로 처리한다.

명령어 구분을 위한 특수문자

명령어 삽입은 쉘(shell)에서 운영체제 명령어를 연이어 사용할 수 있는 특징을 이용한다. 유닉스(Unix) 계열의 운영체제(Linux)에서 명령어 연결 형식은 다음과 같은 것들이 있다.

순차적 연결( ; ),
뒷면 실행( & ),
파이프 연결( | ),
참 조건형 연결( && ),
거짓 조건형 연결( || ),
줄바꾸기형 연결( \n )

MS 윈도우 계열도 유사한 데 유닉스의 뒷면 실행 연결(&)이 순차적 연결로 해석되는 것에서 차이가 있다.

명령어 삽입 취약점을 점검할 때는 대부분의 운영체제에서 공통적으로 지원하기 때문에 일반적으로 &를 사용한다.

---

DVWA Command Injection 실습

실습 환경
- Windows Docker를 이용한 DVWA
- Windows 환경의 Burp Suite

Command Injection에 들어가면 다음과 같은 창이 나온다.

입력 부분에 ip 주소를 입력하면 해당 주소에 대한 ping 명령어가 실행된다.

위와 같이 입력한 ip주소 127.0.0.1에 대한 4번의 ping 결과가 출력된 것을 확인할 수 있다.

 

Security Level: Low

Low 레벨의 경우, 명령어를 추가적으로 입력하기 위해 사용하는 명령어 구분을 위한 특수문자가 모두 사용이 가능하다.

127.0.0.1; cat ../../../../../../etc/passwd

위와 같이 ip 주소 뒤에 ; 를 입력하고 원하는 명령어(etc/passwd)를 추가적으로 입력하여 보면 다음과 같다.

이것을 Burp Suite을 통해 요청(Request)와 응답(Response)를 확인해보면 다음과 같다.

위와 같이 127.0.0.1; cat ../../../../../../etc/passwd 를 입력하는 경우, ping 명령어의 결과 뒤에 cat 명령어가 실행되어 내부의 정보를 확인할 수 있다.

---

Security Level: Medium

Medium 레벨의 경우, 명령어 연결을 위한 특수문자들 중 일부분을 필터링 하고 있다.

&&, ; 의 두가지만 필터링하고 있어서 이외의 특수문자를 사용하는 경우에는 취약한 것을 확인할 수 있다.

127.0.0.1& cat ../../../../../../etc/passwd

위와 같이 입력 값에 대하여 &&, ; 의 경우에 대하여 블랙리스트 필터링을 하는 것을 확인할 수 있다.

---

Security Level: High

High 레벨의 경우, 명령어 연결을 위한 특수문자을 대부분 필터링 하고 있다.

하지만 | 의 경우 '|' 가 아닌 '| ' 와 같이 공백이 하나 들어간 것을 필터링 하고 있어서, | 를 붙여 쓰는 경우에는 필터링 하지 않는 것을 확인할 수 있었다. (개발자의 실수라고 할 수 있다.)

127.0.0.1|cat ../../../../../../etc/passwd

위와 같이 입력 값에 대하여 대부분의 문자열에 대하여 블랙리스트 필터링을 하는 것을 확인할 수 있다.

하지만 공백 문자가 포함된 것을 확인하는 경우 공백이 포함되어야만 해당 문자열로 인식하기 때문에 우회가 가능하다.

---

Security Level: Impossible

Impossible 레벨의 경우, 해당 보안 수준에서는 ping 명령어의 입력으로 사용되는 ip 변수를 온전하게 검증한다.

ping 명령어를 위해 ip 주소를 입력으로서 받는 과정에서 다른 명령어들을 추가적으로 실행할수 있는 것이 문제였는데, 입력 값에 대하여 ip 주소 외에 다른 값이 들어오더라도 ip 주소를 검증하는 로직을 이용하여 ip 주소만을 인식하도록 한다.

 // Split the IP into 4 octects
    $octet = explode( ".", $target );

    // Check IF each octet is an integer
    if( ( is_numeric( $octet[0] ) ) && ( is_numeric( $octet[1] ) ) && ( is_numeric( $octet[2] ) ) && ( is_numeric( $octet[3] ) ) && ( sizeof( $octet ) == 4 ) ) {
        // If all 4 octets are int's put the IP back together.
        $target = $octet[0] . '.' . $octet[1] . '.' . $octet[2] . '.' . $octet[3];

위의 코드를 보면 ip 변수를 온전하게 검증하기 위해, 숫자 네개를 마침표로 연결하는 방식을 이용하여 다른 입력이 들어올 수 있는 여지를 차단하는 방식이다.

---

Command Injection 대응

서버스크립트 프로그래밍에서 시스템 명령어를 사용하는 것은 가능한 피하는 것이 좋다.
하지만 반드시 사용해야 하는 경우라면 사용자의 입력이 전달되는 것을 차단해야 한다.

---

질문 환영, 수정 및 보완에 대한 지적 환영