본문 바로가기
Web/Vulnerability

멘토링 1주차 교육

s0ccer 2017. 4. 6. 10:24

멘토링 1주차 실습 (웹해킹 이벤트 탐지)

 

==========================================================================================

 

사례 1

XX 대학교 학과 홈페이지에 아파치 스트러츠 취약점(CVE-2017-5638)을 악용한 공격이 들어왔다. 학교 보안담당자는

공격 테스트를 통해 해당 취약점이 있는지 확인하여 해당 학과에 통보 하려고 한다.

공격 패킷 정보를 토대로 테스트를 진행하고 성공 시 메일로 로 캡쳐화면과 취약점 조치방법을 회신해 주세요

 

1. XX 대학교 XX홈페이지 주소 : http://192.168.0.44:8080/struts2-showcase-2.3.28/index.action

2. 공격 패킷 정보 1.pcapng

3. 공격 참고 자료 : http://sunneversets.tistory.com/17

 

※ 확인 방법

 ① pcap에서 타켓 url에 대한 공격코드를 확인한다.

     (WriteShark 설치 링크 : https://www.wireshark.org/download.html)

 ② 크롬 -> 확장프로그램 -> resteasy 검색하여 설치한다

 ③ 아래 그림 처럼 타켓Url, 공격코드를 입력하고 Send를 눌러 취약 여부를 확인한다.

     (resteasy 사용 방법 1. 타켓입력 -> 2. Headers의 Content-Tpye 부분에 공격코드 입력 -> 3. Send)

 

==========================================================================================

 

사례 2

TMS를 통해 XX 대학교 XX 홈페이지에 웹쉘 이벤트 발생을 확인하였다.

웹쉘이 삽입된 경로 어떤 취약점을 악용하여 웹쉘이 업로드 되었는지 메일회신해 주세요

 

1. 공격 패킷 정보 2.pcapng

 

※ 확인 방법

 ① pcap에서 타켓 url에 대해 웹쉘 업로드 시 악용한 취약점 정보를 파악한다.  (WireShark 설치 필요)

 ② pcap에서 웹쉘 실행 경로를 파악하여 실제 url 접근을 가능한지 확인한다.

 

==========================================================================================

 

사례 3

데일리시큐 기사를 통해 웃긴대학교 메인 홈페이지에 악성스크립트 삽입이 확인하였다.

웃긴대학교 이정민 담당자에게 악성스크립트 삽입 부분 전파 및 삭제 요청을 하였다.

메인 페이지에 악성스크립트 삽입 여부를 파악하여 악성URL 확인 시 메일로 회신해 주세요.

 

1. 데일리시큐 기사 : http://192.168.0.44/main.php

2. 웃긴대학교 주소 : http://192.168.0.44:8080/main.jsp

 

※ 확인 방법

 ① 해당 페이지에서 소스보기를 통해 악성스크립트 삽입 부분을 확인한다.

 ② 악성의심 URL 확인시 http://virustotal.com에서 아래와 같이 URL을 입력하고 Scan it!를 통해 악성 여부를 판단한다.

 

 

==========================================================================================

 

사례 4

중국 해커에 의해 XX 교육청 토마토3행시 홈페이지로 파일 다운로드 공격이 다수 발생하였다. 교육청 담당자는

파일 다운로드 공격 성공여부와 어떤 취약점을 악용했는지 파악하기 위해 웹서버의 access.log를 확인 하려고 한다.

웹서버의 access.log에서 파일 다운로드 공격 성공여부를 파악하고 성공 시 url를  메일로 회신해 주세요

 

1. XX 교육청 토마토3행시 홈페이지 : http://192.168.0.44/wordpress/?page_id=2 

  (해당 웹서버는 윈도우 서버입니다.)

2. 토마토3행시 홈페이지 로그 : access.log

 

※ 확인 방법

 ① 토마토3행시 홈페이지의 access.log에서 파일 다운로드 공격 경로를 파악한다.

 ② 파악된 공격 경로에서 파일 다운로드가 가능한지 확인한다. (Internet Explorer 사용)

 ③ 파일 다운로드 공격 성공 시 해당 취약점을 파악한다.

저작자표시

'Web > Vulnerability' 카테고리의 다른 글

windows2003 CVE-2017-7269 취약점  (0) 2017.04.02
wordpress restapi 취약점  (2) 2017.03.20
apache struts2 취약점 (CVE-2017-5638)  (0) 2017.03.08

'Web/Vulnerability' Related Articles

티스토리툴바