alert tcp $EXTERNAL_NET any -> $HOME_NET $HTTP_PORTS (msg:”DOS generic web server hashing collision attack”; flow:established,to_server; content:”Content-Type|3A| application|2F|x-www-form-urlencoded”; nocase; http_header; pcre:”/([^=]+=[^&]*&){500}/OP”; reference:cve,2011-3414; reference:url,events.ccc.de/congress/2011/Fahrplan/events/4680.en.html; reference:url,technet.microsoft.com/en-us/security/advisory/2659883; classtype:attempted-dos; sid:20823; rev:1;)

alert tcp $EXTERNAL_NET any -> $HOME_NET $HTTP_PORTS (msg:”DOS generic web server hashing collision attack”; flow:established,to_server; content:”Content-Type|3A| multipart/form-data”; nocase; http_header; pcre:”/(\r\nContent-Disposition\x3a\s+form-data\x3b[^\r\n]+\r\n\r\n.+?){500}/OPsmi”; reference:cve,2011-3414; reference:url,events.ccc.de/congress/2011/Fahrplan/events/4680.en.html; reference:url,technet.microsoft.com/en-us/security/advisory/2659883; classtype:attempted-dos; sid:20824; rev:1;)

참고자료 :

-  http://blogs.technet.com/b/srd/archive/2011/12/29/asp-net-security-update-is-live.aspx

-  http://www.exploit-db.com/exploits/18296/

-  http://www.exploit-db.com/exploits/18305/

다음은 공격 패턴이다.  버퍼오버플로우 시키기 위해 shellcode가 포함된 긴 길이의 keyid를 telnet 서버에 전송한다. payload의 특정 위치까지 \x90으로 패딩된 것을 확인할 수 있다.

해당 exploit을 탐지하기 위한 snort rule은 다음과 같다.

alert tcp any any -> any 23 (msg: “

telnetd encrypt keyid buffer overflow – exploit-db

“; flow: established, to_server; content:”|ff fa 26 07 00 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90|”;)

Metasploit에도 telnet_encrypt_overflow란 명으로 exploit이 업데이트 되었다.

해당 exploit의 공격 패턴도 위에서 언급한 exploit과 패턴이 유사하나,  \x90 대신 \x58로 패딩된다. 다음은 공격패턴이다.

해당 exploit을 탐지하기 위한 snort rule은 다음과 같다.

alert tcp any any -> any 23 (msg: “

telnetd encrypt keyid buffer overflow – Metasploit

“; flow: established, to_server;  content:”|ff fa 26 07 00 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58|”;)

참고(exploit code):

http://www.exploit-db.com/exploits/18280/

http://www.metasploit.com/modules/auxiliary/scanner/telnet/telnet_encrypt_overflow

Introduction

PHP 어플리케이션의 테스트에서 LFI 취약점은 여전히 일반적인 취약점이다. 서버 설정에 따라 다음의 포인트에서 알려진 주요 기법에 의해 코드 실행이 가능하다.

l  /proc/self/environ

l  /proc/self/fd/…

l  /var/lib/php/session/(PHP Sessions)

l  /tmp/(PHP Sessions)

l  PHP://input wrapper

l  PHP://filter wrapper

l  Data: wrapper

이 연구 문서는 Gynvael Coldwind의 “PHP LFI to arbitratry code execution via rfc 1867 file upload temporary files” 의 발전 시킨 것이다.

http://gynvael.coldwind.pl/download.php?f=PHP_LFI_rfc1867_temporary_files.pdf

이 문서에서, 저자 문서의 정보는 PHP 파일 업로드의 특징과 관련이 있다. 저자가 알리고자 한 특징은 만약 file_upload = on 으로 PHP 설정이 되어 있을 때 특정 PHP 파일을 이용하여 post 방식의 파일 업로드가 가능하다는 것이다. 또한 그는 업로드 된 파일은 해당 PHP 파일의 처리가 완료 되기 까지 tmp 에 위치하게 된다고 한다.

여기서 또 하나의 PHP 관련 문서를 포함한다.

http://www.php.net/manual/en/features.file-upload.post-method.php

            만약 파일이 이동되거나 이름이 변경되지 않는다면, 파일은 request 요청이

마지막에 임시 디렉토리(tmp)에서 삭제 된다.

Gynvael Coldwind 문서에서는 윈도우 시스템에서 FindFirstFile 현상을 이용하여 위 동작을 exploit 하는 방법을 포함하고 있다.

Oddities of PHP file access in Windows®. Cheat-sheet, 2011 (Vladimir Vorontsov, Arthur Gerkis)

http://onsec.ru/onsec.whitepaper-02.eng.pdf

LFI 연구와 관련이 없다고 할지라도, 다음 문서는 PHP 웹 어플리케이션 보안 연구가들에게 흥미로울 것이다. 이 문서는 HEAD HTTP 메소드를 이용한, PHP 스크립트의 동작 이슈에 대한 내용이 있다.

HTTP HEAD method trick in php scripts (Adam Iwaniuk)

https://students.mimuw.edu.pl/~ai292615/php_head_trick.pdf

위 HEAD 메소드 트릭의 FindFirstFile 현상은 GNU/Linux 에서의 PHP 엔진엔 적용되지 않는다. 그렇지만 아래의 명백한 상태인 PHP File 업로드 취약점의 특징은 여전히 가능하다. 이 문서는 여러 조건 중 하나에 대해 자세히 기술한다. Phpinfo() 함수의 호출 결과에 대한 출력을 하는 스크립트를 접근할 때 사용 가능하게 된다.

LFI WITH PHPINFO() ASSISTANCE

다음의 서버 내 요소들이 취약 상태를 위해 필요하다.

l  LFI Vulnerability

LFI 취약점이 공격 수행을 위해 필요하다. 이 스크립트는 PHPInfo script를 통해 업로드 된 파일을 포함하기 위해 필요하다.

l  PHPinfo() Script

PHPinfo() 함수를 화면에 출력하는 스크립트가 필요하다. 대부분 이 파일은 /phpinfo.php 로 개발자들이 생성해 놓곤 한다.

Why PHPInfo()?

PHPinfo() 함수를 포함하는 스크립트는 다양한 PHP 변수들의 값들을 포함한다.

그 중 _GET, _POST 또는 업로드 된 _FILES 에 의해 셋팅 된 변수의 값들을 포함한다.

다음의 요청(request)와 출력 스크린샷은 어떻게 PHPinfo() 스크립트가 업로드 된 파일의 임시 파일명을 발견하는지 보여준다.

Winning The Race

첫번째 페이지에서 서술 했듯이, 임시 파일은 PHP 처리과정이 .php 파일이 처리되는 동안만 존재한다. 그리고 처리가 끝날 때 함께 삭제되게 된다.

임시 파일에서의 동작은 다음의 명령을 통해 모니터링이 가능하다.

sudo inotifywat –m –r /tmp

( 또는 infotifywat /tmp )

그렇다면 다음과 같이 추측해 볼 수 있다.

만약 PHPinfo() 함수 포함 php 파일의 결과가 브라우저로 다시 보내어지고 있고, 그리고 PHP 처리 과정이 끝나고 파일이 삭제된다면, 비록 명백히 일반적이지는 않을 지라도, PHP 처리 과정이 여전히 요청된 파일에서 진행중인 동안에는 콘텐츠 결과의 일부분을 되찾아 오는 게 가능하다.

PHP는 처리 결과의 버퍼링을 사용하여 데이터 전송의 효율 증대를 노린다. 이 설정은 기본적인 설정이며 버퍼의 값은 4096 값으로 enable 되어 있다.

http://php.net/manual/en/outcontrol.configuration.php#ini.output-buffering

PHP 스크립트의 output 크기가 설정된 버퍼링의 설정 값보다 클 경우, 부분적인 컨텐츠는 요청자에게 리턴 된다.( 이 부분이 가장 중요하다.) 리턴 시 데이터는 청크 단위로 다음의 기술로 인해 인코딩 된다.

http://en.wikipedia.org/wiki/Chunked_transfer_encoding

PHP 스크립트의 결과물이 반드시 threshold 값보다 크게 하기 위해, 그리고 교묘하게 처리 시간을 증가시키기 위해, extra padding(exploit 코드 내에 A값을 5000 bytes 로 포함시켜 전송하는 행위)이 긴 길이의 extra HTTP header 값의 전송을 통해 포함된다.

PHPinfo 스크립트로 전송되는 multiple upload posts 들을 만들어 내는 것과, 그 응답에 대해 돌아오는 값들의 검사를 통해, 임시 파일명의 발견과 특정 임시 파일명의 LFI 요청 request가 가능하다. 이 조건들은 우리가 이 Race에서 이기도록 해준다. 그리고 효과적으로 LFI 취약점을 이용한 code execution의 변형 공격이 가능하게 된다.

이 취약점은 로컬, 원격의 서버에 모두 증명된 취약점이다.

참조 : http://www.exploit-db.com/download_pdf/17799

http://certteamfast.blogspot.com/2011/11/tool-replaypcap.html

이 툴의 특징으로는 다음과같다.

기존 tcpreplay는 리눅스용 툴로써 UI가 없다. 이 툴은 UI를 제공한다.

blade informer라는 제품은 상용이나 이 툴은 무료이다.

마지막으로 가장 큰 특징은 ipv4 패킷을 ipv6로 돌려준다는 점이다. 국내 네트워크, 보안제품들이 ipv6를 지원해야 하는 시점에서 좋은 툴이 될 수 있을듯 보인다.

사용기는 추후에…

alert udp any any -> any 53 (content:”|06|domain|03|rm6|03|org|00|”; nocase;)

alert udp any any -> any 53 (content:”|0a|anti-virus|05|sytes|03|net|00|”; nocase;)

취약점 : 대량의 Range byte 필드 이 후 accept-encoding 헤더

탐지룰 :

alert tcp any any -> any $HTTP_PORT (content:”|0d0a|Range|3a|”; nocase; pcre:”/^Range\x3a\s*bytes\s*\x3d\s*[^\r\n]{500,}/im”; threshold:type both, track by_dst, count 20, seconds 5;)

false positive : Range byte의 값이 500자가 넘지만 정상인경우도 있을 수 있음. Range: bytes 이후 accept-encoding 헤더가 존재할경우만.

rev:2 추가 – 임계치 설정.

로그인 필드에

‘>\”><script>alert(3);</script>같은 코드를 넣으면 로그에는 잘못된 로그 시도로 위의 코드가 저장될 것이고,

유저가 로그 파일을 검색할 때, 유저의 브라우져 에서는 저장된 악성코드가(위의 코드가)실행될 것 이다.

<Reflected xss 취약점>

windowsTitle 이나 helpFile의 변수를 다음과 같이 변경할 때 Reflected xss 취약점이 발생할 수 있다.

/com_sun_webui_jsf/help/helpwindow.jsf?&windowTitle=Help+Window’>\”>

<script>alert(1);</script>&helpFile=commontask.html

/com_sun_webui_jsf/help/helpwindow.jsf?&windowTitle=Help+Window&

helpFile=commontask.html’>\”><script>alert(1);</script>

Stored xss 취약점

alert tcp any any -> any any (content:”/j_security_check?loginbutton”; nocase; pcre:”/j_username\x3d%27%3E%5C%22%3E%3Cscript[^>]*%3E[^<]*%3C%2Fscript%3e/i”)

Reflaeted xss 취약점

alert tcp any any -> any any (content:”/com_sun_webui_jsf/help/helpwindow.jsf”; nocase; pcre:”/\x27\x3e\x5c\x22\x3e\x3cscript[^>]*\x3e[^<]*\x3c\x2fscript\x3e/i”)

첫번재 시그니처 4d 5a를 탐지후 offset 58byte(relative)로 4바이트 값 만큼 점프하면

PE헤더 시작 주소를 지정하고 있습니다.

이 PE헤더 주소값은 offset 0부터 계산한 값을 가지고 있습니다.

따라서 탐지 위해서는 content탐지 시 사용한 2byte, byte_jump를 하면서 사용한 58+4byte를 빼야 PE헤더 시작 주소를

찾을 수 있습니다.  그럼으로  byte_test의 offset은 -64가 되는 것입니다.

위 링크에서는 유출된 DB 내용을 보여준다.

패스워드는 hash 값을 이용하여 저장했기때문에 유추하기는 어렴움이 있을것 같고, 사용자 이름과 이메일 주소가 있기때문에 악의적인 메일을 전송해서 소니 피싱 사이트로 유도한 후 패스워드 변경을 유도한다면 기존의 패스워드를 알아내거나 앞으로 변경할 패스워드의 내용을 얻을 수 있을 것으로 보인다.

NTSD.EXE를 통한 리버스 커넥션은 디버거 자체가 지니고 있는 원격 디버깅 기능을 통해서 수행할 수 잇습니다. 공격자는 배치 파일이나 스크립트 파일을 통하여 NTSD.EXE를 실행시킵니다.( 서버 오픈)

공격자에서의 서버 연결 및 쉘 획득

탐지 룰은 다음과 같습니다.

alert tcp any any -> any any (msg:”possible ntds connection”; flow:from_server; dsize:128; content:”DRPC|02 00 00 00 39 56 fe 27 07 84 47 4f 83 64 ee 11 8f b0 8a c8 |” offset:0; detph:24;)