¾ÆÆÄÄ¡¿¡¼ phpBB¿ú Â÷´Ü ¹× º°µµ ·Î±× ÀúÀå | ÀÛ¼ºÀÏ : 2005/02/19 00:07 |
Á¶È¸¼ö : 9395 |
Á¦ ¸ñ : ¾ÆÆÄÄ¡¿¡¼ phpBB¿ú Â÷´Ü ¹× º°µµ ·Î±× ÀúÀå ±Û¾´ÀÌ : ÁÁÀºÁøÈ£(truefeel, http://coffeenix.net/ ) ±Û¾´ÀÏ : 2005.2.16(¼ö) phpBB 2.0.11 ÀÌÀü ¹öÀüÀÇ º¸¾È¹®Á¦¸¦ ÀÌ¿ëÇÑ phpBB Worm(Santy ¿ú µî)ÀÇ °ø°ÝÀÌ ¿©ÀüÈ÷ ¸¹ÀÌ ½ÃµµµÇ°í ÀÖ´Ù. phpBB¸¦ ÃֽŠ¹öÀüÀ¸·Î ¾÷ÇÏ´Â °ÍÀº ´ç¿¬ÇÑ °ÍÀÌÁö¸¸ Áö¼ÓÀûÀÎ °ø°Ý À¸·Î ½Ã½ºÅÛ ·Îµå¸¦ Àâ¾Æ¸Ô°í Â¥Áõ³ª´Â ·Î±×¸¦ ÇØ°áÇÒ ¹æ¹ýÀÌ ÇÊ¿äÇß´Ù. 1. phpBB ¿ú °ø°Ý ·Î±× access log¿¡´Â ´ÙÀ½°ú °°Àº ÇüÅÂÀÇ ·Î±×°¡ ³²´Â´Ù. (ÇÑÁÙ·Î)
highlight= º¯¼ö·Î ³Ñ¾î¿Â °ªÀ» phpBBÀÇ viewtopic.php¿¡¼ urldecode()ÇÔ¼ö¸¦ ÅëÇØ º¸¾È»óÀÇ ¹®Á¦¸¦ ¿¾îµÎ°í Àִµ¥ À̸¦ ¾Ç¿ëÇÑ °ÍÀÌ´Ù. ¿úÀÇ ´Ù¸¥ Ư¡Àº Agent°¡ "Mozilla/4.0"À̶ó´Â °ÍÀÌ´Ù. ´ÜÁö ÀÌ user agentÀÎ °æ¿ì¸¦ Â÷´Ü ¸é Á¤»óÀûÀÎ »ç¿ëÀÚÀÇ Á¢¼ÓÀ» Â÷´ÜÇÏ´Â °æ¿ìµµ »ý±æ ¼ö ÀÖÀ¸¹Ç·Î ¿©±â¼´Â URLÀ» ÅëÇÑ ¹æ¹ýÀ» »ç¿ëÇÒ °ÍÀÌ´Ù. 2. ¿ú Â÷´Ü°ú ·Î±×´Â º°µµ ÀúÀå ¿úµµ Â÷´ÜÇÏ¸é¼ µ¿½Ã¿¡ À¥·Î±×´Â º°µµ·Î ÀúÀåÇÏ´Â httpd.conf ¾ÆÆÄÄ¡ ¼³Á¤À» ¾Ë¾Æº¸ÀÚ.
¾ÆÆÄÄ¡¿¡¼´Â URL Rewriting ¼³Á¤À» ÅëÇØ Æ¯Á¤ URL·Î ¿äûµÈ °ÍÀ» ³»ºÎÀÇ ´Ù¸¥ ÆäÀÌÁö·Î ³Ñ±æ ¼öµµ ÀÖ°í ÀüÇô ´Ù¸¥ »çÀÌÆ®ÀÇ ÆäÀÌÁö·Î º¸³¾ ¼öµµ ÀÖ´Ù. ¶ÇÇÑ Á¶°Ç¿¡ ¸Â´Â URLÀ̸é À̸¦ ¾ÆÆÄÄ¡ ³»ÀÇ º¯¼ö°ªÀ¸·Î ÁöÁ¤µµ °¡´ÉÇÏ´Ù. ¾ÆÆÄÄ¡ÀÇ Rewriting rule¿¡ ´ëÇÑ ÀÚ¼¼ÇÑ ±ÛÀº Apache ȨÆäÀÌÁöÀÇ "URL Rewriting Guide" ¸¦ Àо±â ¹Ù¶ó°í, ¼³Á¤¿¡ ´ëÇØ ÇÑÁÙ¾¿ ¾Ë¾Æº¸±â·Î ÇÏÀÚ. ù¹ø°ÁÙÀº URL rewritingÀÇ ½ÃÀÛÀ» ¾Ë¸°´Ù. µÎ¹ø°ÁÙÀº Á¶°Ç¹®ÀÌ´Ù. URI(Äõ¸®)Áß¿¡ À§¿Í °°Àº URLÀÌ ÇüÅÂÀÎ °æ¿ìÀÎÁö¸¦ ºñ±³ÇϰԵȴÙ. Áï, ·Î±×ÀÇ Ã¹ºÎºÐÀÎ ´ÙÀ½°ú °°Àº ºÎºÐ¿¡ ÇØ´çµÈ´Ù.
¼¼¹ø°ÁÙÀº Á¶°ÇÀÌ ¸Â´Â °æ¿ì¿¡ ¾î¶»°Ô ó¸®ÇÒ °ÍÀÎÁö¸¦ Á¤ÀÇÇÑ °ÍÀε¥, ¿úÀ¸·Î ÆÇ´ÜµÇ¸é ¿äûÀ» http://127.0.0.1/ À¸·Î ³Ñ°Ü¹ö¸°´Ù. Áï ¿ú Àڽſ¡°Ô ¿äûÀ» ³Ñ±â°Ô µÇ´Â °ÍÀÌ´Ù. ¿©±â¼ ¶Ç Çϳª Áß¿äÇÑ ºÎºÐÀÌ 'E=phpbb:1' ÀÌ´Ù. ȯ°æº¯¼ö phpbb¿¡ 1À̶ó´Â °ªÀ» ³ÖÀ¸¶ó´Â °ÍÀÌ´Ù. ÀÌ °ÍÀº ·Î±×¸¦ º°µµ·Î ÀúÀåÇϱâ À§ÇÑ ¾È³»ÀÚ ¿ªÇÒÀ» ÇÏ°Ô µÈ´Ù. ³×¹ø°ÁÙÀº ȯ°æº¯¼ö phpbb·Î Á¤ÀÇµÈ ¿äûÀº logs/phpbb_worm_log ¿¡ ·Î±×¸¦ ³²±â¶ó´Â °ÍÀÌ´Ù. ÀÚ~ ÀÌÁ¦ Â¥Áõ³ª´Â Àú ¿úÀ» Çѹ濡 ³¯·Á¹ö¸®¼¼¿ä. 3. Âü°í ÀÚ·á * Apache 1.3 URL Rewriting Guide http://httpd.apache.org/docs/misc/rewriteguide.html * phpBB Worm Â÷´Ü¿¡ ´ëÇØ (±Û Raymond Dijkxhoorn) http://www.securityfocus.com/archive/1/385103 * phpBBÀÇ highlight º¯¼öÀÇ º¸¾È¹®Á¦¿¡ ´ëÇØ http://www.phpbb.com/phpBB/viewtopic.php?f=14&t=240513 * phpBB Remote Command Execution (Viewtopic.php Highlight) http://www.securiteam.com/unixfocus/6J00O15BPS.html Exploit Code :
* Using the [E=VAR:VAL] flag to pass a variable to CGI http://www.webmasterworld.com/forum92/2631.htm |
Ä¿ÇǴнº, ½Ã½ºÅÛ ¿£Áö´Ï¾îÀÇ ½°ÅÍ / URL : http://coffeenix.net/board_view.php?bd_code=742 |