1581,

2/80

dual5651

http://dualpage.muz.ro

웹 게시판들의 웹실행파일 업로드 취약점(파일명 필터링 우회)

http://www.hackerschool.org/HS_Boards/zboard.php?id=Free_Lectures&no=503 [복사]

http://dual5651.mireene.com/blog/index.php?pl=186&ct1=8

웹 게시판들의 웹실행파일 업로드 취약점

작성자 : sammuel Dual (Dual5651@hotmail.com)

웹게시판들에서 파일 필터링을 우회하여 웹실행파일
(PHP,ASP,JSP)등의 파일을 올릴 수 있는 취약점을
발견 하였다. 해당 문제점은 Apache의 옵션중
AddLanguage라는 옵션에서 생겨나는데,
AddLanguage옵션은 다중 언어를 지원하기 위한 옵션인데,
같은 디렉토리에 index.php.kr 와 index.php.it 식으로 만들어 두면,
한국에서는 .kr이 붙은 녀석이, 이탈리에서는 .it가 붙은
녀석이 실행된다.

즉 확장자가 웹실행파일의 확장자(.PHP,.ASP,.JSP)가
아니면서도, 웹실행파일로서 실행 될 수 있는 것이다.

Apache의 httpd.conf속의 AddLanguage 옵션들:

AddLanguage da .dk
AddLanguage nl .nl
AddCharset ISO-8859-8 .iso8859-8
AddLanguage it .it
.....

-------------------------------------------------

방법 예시 :

1. 파일이 업로드 되는 경로 획득

  먼저 해당 게시판에 그림파일을 업로드 한다.
  많은 게시판들이 이미지 파일을 업로드 했을떄 글속에
  미리보기(preview)식으로 같이 보여준다는 점을 이용하여,
  그림 파일이 작성한 글에 같이 보여지게 되면,
  마우스 오른쪽 버튼으로 클릭하여 아래 그림에서와 같이
  파일이 업로드되는 경로를 획득할 수 있다.

2. 웹실행파일 업로드

  그림파일을 통하여 파일이 업로드 되는 경로를 획득 했다면,
  이제 PHP파일의 뒤에 .kr 이나 .iso8859-8 등을 붙여서
  업로드 한다.

3. 웹실행파일의 실행

  파일을 성공적으로 업로드 된 것을 확인했다면,
  이제 해당 주소로 실행을 해보면 nobody권한 정도의
  쉘들을 획득할 수 있음을 알 수 있다.

4. 해결책

  1.파일 업로드 디렉토리에서 웹실행파일이 실행 될 수
    없도록 지정한다.
  2.파일 업로드시의 파일명 필터링에 AddLanguage옵션도
   필터링이 지원 될떄까지 기다린다.
  3. 이미지 파일을 업로드 했을때 게시판에서 글에
    같이 보여지는 것을 없애거나, 경로가 들어나지
     않도록 한다.

5. 영향을 받는 웹솔루션

블루CGI - http://www.bluecgi.com/
블루보드 - http://blueboard.co.kr/
알지보드 - http://rgboard.com/
세팔보드 - http://spfamily.com
케이보드 - http://www.kboard.net/

Hit : 25049 Date : 2006/03/28 05:44


아이프리드	호오...제로보드는 영향을 안받는군요. 다행이네...	2006/03/28
멍멍	와우.. 듀얼님.. 멋진거 발견하셨네요	2006/03/29
pr0sp3r	발견이라는것에 대하여 딴지 아닌 딴지를 걸겠습니다. 이미 몇년전에 외국에서 논의되었고 한국에서도 알만한분들은 다알고있던 내용입니다. 분석하고 리포트 올려주신것 감사합니다.	2006/03/30
Dual	네 이미 전에 있던 내용입니다만 (How to에 대한 것과 실제적으로 어디에 적용되는지에 대한점을 발견(?) 이라기 보다는 분석이랄까요) 아는 분들은 거의 알아오던 내용입니다.:p	2006/03/30
pr0sp3r	<a href=http://hacker4u.org/zboard/zboard.php?id=dis_geek&page=1&sn1=&divpage=1&sn=off&ss=on&sc=on&select_ar target=_blank>http://hacker4u.org/zboard/zboard.php?id=dis_geek&page=1&sn1=&divpage=1&sn=off&ss=on&sc=on&select_ar</a>	2006/03/30
pr0sp3r	^^; 딴지 아닌 딴지 걸어서 본의아니게 죄송하게ㄷㅚㅆ습니다. 다시한번 분석해준것 감사드립니다 :D	2006/03/30
Dual	:p 아니에요~ 밤새우고 아침에 작성한거라 -_-;; 오타도 있나~ :)	2006/03/30
Dual	:p 재가 원하는것은 많은 사람들이 이것에 대하여 알게 되고 (실제로 사용하는것 :p)	2006/03/30
Dual	뭐 저야 어짜피 웹해킹관 관련 없는 사람이니깐요 :p	2006/03/30
pr0sp3r	Dual // 저는 키드가 많아지는것은 반대합니다. 정보공유는 찬성합니다만 의식없이 범죄자를 만드는것은 공유자들의 책임이 아닐까 생각해봅니다.	2006/03/30
Dual	물런 pr0sp3r님의 의견이 맞습니다. 아무 생각없이 왜 그런지도 모르고, 단지 이렇게 하면 된다. 그래서 난 뚫어 버린다. <=자체는 문제가 많다고 생각합니다. :p	2006/03/30
Dual	"why?"라는 의문점을 가지고 직접 해보며 공부해 가는 사람이 많아지길 바랄 뿐이겠죠? :) 작은 소망이었습니다. (__0	2006/03/30
pr0sp3r	Dual // 아침부터 기분좋네요.. Good job! nice guy! 종종뵐수있었음 좋겠군여 :D	2006/03/30
Dual	pr0sp3r // :p pr0sp3r님의 지적도 감사했고, 올바른 정보제공자로서의 마인드 제시도 감사합니다. :)	2006/03/30
pr0sp3r	;)	2006/03/30
nsh009	실제로 업로드가 어렵다는 php 만 들어가도 필터링을 하기 땜시.. 또한 퍼미션 설정으로 쉽게 막을수도,..	2006/04/02
xparser	nsh009 // 저거 위에 내용은 특정 게시판들에 대한 내용 같은데욤? 퍼미션 설정애기도 해결책에서 나왔구욤	2006/04/06
enciel85	^^	2006/06/17
짱구	이거 막힌지가 언제인데 ;;1	2006/07/04