티스토리 뷰

파일 다운로드 취약점

 

직접 객체 참조

 

디렉터리 탐색

브라우저에서 확인 가능한 경로의 상위로 탐색하여 특정 시스템 파일을 다운로드하는 공격 방법

-자료실에 올라간 파일을 다운로드할 전용 다운로드 프로그램이 파일을 가져오는데, 이때 파이 이름을 필터링하지 않아서 발생하는 취약점

-게시판 등에서 첨부파일을 다운로드할 down.jsp 형태의 SSS 주로 사용

-파일 시스템에서 ‘.’ 현재 디렉토리를, ‘..’ 상위 디렉토리를 의미

-공격자가 filename변수에 ‘../list.jsp’ 입력 à 다운로드가 기본적으로 접근하는 /board/upload디렉토리의 바로 상위 디렉토리에서 list.jsp 다운로드 하라는 의미

필터링되어있다면 ../ 대신에 ..%5C 으로 우회하기도

../../../대신에 /./.././../ 으로 우회하기도




 

f_path 수정 (dirbuster spider사용해서 알아내야함)

file 일단 admin디렉토리 안에 시스템 파일 다운로드

 

 



파일 업로드 취약점

 

파일 첨부 서비스에 악송 코드가 포함되어있는 서버 스크립트 파일 (jsp, asp) 허용함으로써 서버 침투 근접 네트워크 침투 가능성을 유발하는 취약점

보통 웹쉘이 올라옴



asp올리려면 버프수트로 응답값을 가로채야함



이렇게 설정한 write버튼을 누르기




파일 업로드 필터링 부분에 asp 추가

 

 

Forward 후에 다시 파일 업로드, 글쓰기




asp 업로드 성공

 

 

 

BurpSuite Intruder




Clear 기호를 지움

(기호가 모두 붙었으므로 해당되는 모든 파라미터를 공격할것이라는 의미)




id position 잡기




payload에서 fuzzdb 같은 곳에서받은 사전 파일 불러오기

https://code.google.com/p/fuzzdb/



공격시작하고 500번대 에러가 페이로드의 Response-Render부분을 보면 성공한 error based sql injection 있음




 


metasploit

msfconsole 바뀌면

search smb

어떤 서비스를 검색하면 해당하는 공격코드를 출력해줌

 

search ms08_067 ß 연습할때 가장 많이 사용

use 라는 명령어 뒤에 나와있는 공격모듈 그대로 입력하면 공격으로 바뀜 exploit() >

set RHOST 아이피 하면 타겟으로 그걸 설정하고

set RPORT 타겟 포트도 설정

후에 exploit 이라고 명령하면 공격됨!

exit 하면 나가기

 

 

 

armitage

service postgresql start

service metasploit start

service metasploit stop

armitage

 

Hosts - Add Host - 메타 아이피 입력하면




attacks - find attacks 후에 공격할수 있는게 찾아지면 우클릭에서 선택해도 되고 아니면

attacks- hail mary 공격 해도

à 그럼 쉘이 따짐!

 

댓글
댓글쓰기 폼