Skip to content

2008.11.25 20:27

웹취약점 점검

조회 수 9301 추천 수 0 댓글 0
?

단축키

Prev이전 문서

Next다음 문서

크게 작게 위로 아래로 댓글로 가기 인쇄
?

단축키

Prev이전 문서

Next다음 문서

크게 작게 위로 아래로 댓글로 가기 인쇄

웹 취약점 점검하다가 한번 만들어 봤습니다.

@@@@@@@@@@@@@@업로드된 불법 스크립트 의심 파일들 찾기v 1.1@@@@@@@@@@@@@@@@@@
업로드 된 파일 중(Nobody권한) 확장자가 php, html등은 웹 권한으로 스크립트 실행이 가능 하며 일반 계정과 똑같은 권한을 가질 수 있다.
해당 파일들의 경우 게시판 등에서 필요로 하는 파일 확률도 있지만 의도하지 않게 악의의 공격자가 심어 놓은 스크립트일 확률도 높다.
아래와 같이 특정 php함수를 실행 시키는 목록을 뽑아내면 의도하지 않은 파일을 효율적으로 걸러 낼 수 있다.
뽑아낸 모든 파일이 불법 업로드는 아니므로 나머지는 눈으로 확인하도록 한다

1. 파일 목록 뽑아내기

####Nobody권한의 스크립트 파일 목록 뽑아내기####
find /home \( \( -user nobody \) -a \( -name "*.php" -o -name "*.html" -o -name "*.htm" -o -name "*.ph" -o -name "*.php3" -o -name "*.php4" -o -name "*.inc" \) \) | grep -v 'zbSession' >search_files


2. 뽑아낸 목록에서 mail, 쉘실행, 업로드등 특정 php 함수를 실행하는 파일 목록 분리하기


####아래 패턴 모두 적용해서 찾기####
cat search_files|awk '{print "find",$1,"-exec grep -H -r -e \"^exec(\" -e \"[;@[:blank:]]exec(\" -e \"^system(\" -e \"[;@[:blank:]]system(\" -e \"^mail(\" -e \"[;@[:blank:]]mail(\" -e \"^fsockopen(\" -e \"[;@[:blank:]]fsockopen(\" -e \"^HTTP_POST_FILES\" -e \"[;@[:blank:]]HTTP_POST_FILES\" -e \"^copy(\" -e \"[;@[:blank:]]copy(\" {} \\;"}'|sh -x|awk -F":" '{print $1}'|uniq > search_list


####목록 파일에서 실행 명령어 사용하는 스크립트 파일 찾기(참고)
cat search_files|awk '{print "find",$1,"-exec grep -H -r -e \"^exec(\" -e \"[;@[:blank:]]exec(\" -e \"^system(\" -e \"[;@[:blank:]]system(\" {} \\;"}'|sh -x|awk -F":" '{print $1}'|uniq > search_list


####목록 파일에서 메일 명령어 사용하는 스크립트 파일 찾기(참고)
cat search_files|awk '{print "find",$1,"-exec grep -H -r -e \"^mail(\" -e \"[;@[:blank:]]mail(\" {} \\;"}'|sh -x|awk -F":" '{print $1}'|uniq > search_list


####목록 파일에서 소켓open 명령어 사용하는 스크립트 파일 찾기(참고)
cat search_files|awk '{print "find",$1,"-exec grep -H -r -e \"^fsockopen(\" -e \"[;@[:blank:]]fsockopen(\" {} \\;"}'|sh -x|awk -F":" '{print $1}'|uniq > search_list


####목록 파일에서 copy 명령어(파일 업로드 포함) 사용하는 스크립트 파일 찾기(참고)
cat search_files|awk '{print "find",$1,"-exec grep -H -r -e \"^HTTP_POST_FILES\" -e \"[;@[:blank:]]HTTP_POST_FILES\" -e \"^copy(\" -e \"[;@[:blank:]]copy(\" {} \\;"}'|sh -x|awk -F":" '{print $1}'|uniq > search_list

출처 : http://nicesolo.com


List of Articles
번호 제목 글쓴이 날짜 조회 수
8 보안서버 구축시 openssl/modssl/apache 버전 호환성 ADMIN 2008.12.14 10935
7 fcheck - 리눅스 시스템 무결성 검사 툴 ADMIN 2008.12.14 11079
6 보안서버로 redirection 설정 하기 ADMIN 2008.12.14 10334
5 리눅스 해킹점검 가이드 ADMIN 2008.12.10 18283
» 웹취약점 점검 ADMIN 2008.11.25 9301
3 wowhacker.com ADMIN 2008.11.11 8108
2 ZONE-H.KR ADMIN 2008.11.11 8600
1 CentOS 5.2 32bit 에 2.6.27.4 커널 + iptables 1.4.2 + c... ADMIN 2008.11.10 7866
Board Pagination Prev 1 2 3 4 5 Next
/ 5

Copyright ADMINPLAY corp. All rights reserved.

abcXYZ, 세종대왕,1234

abcXYZ, 세종대왕,1234