모의해킹&웹취약점진단/주•통기반 웹 취약점 점검

24. 관리자 페이지 노출 취약점

sheow13 2024. 1. 1. 13:13
728x90

 

 개요

- 웹 어플리케이션의 전반적인 기능 설정 및 회원 관리를 할 수 있는 관리자페이지가 추측 가능한 형태로 구성되어 있을 경우 공격자가 관리자페이지에 쉽게 접근을 할 수 있으며 무차별 대입 공격을 통하여 관리자 권한을 획득할 수 있는 취약점

- 웹 취약점 진단 과정에서 보통 Burp Suite Pro, Owasp-zap, Dirbuster, Acunetix 등과 같은 자동화 도구를 사용하여 점검 진행

- 주요정보통신기반시설 웹 취약점 진단 기준으로 24. 관리자 페이지 노출 취약점에 해당

- OWASP TOP 10 2021 A05. Security Misconfiguration에 해당

 

 

관리자 페이지 Cheat Sheet

예 시
/admin
/manager
/masterpage
/administrator
/webmaster
/master
/system
/adm
/wp-admin
/wp-login.php
/wp-content

 

 

관리자 페이지 노출 관련 법적 관련 사항

  개인정보 기술적 관리적 보호조치 기준(제 4조 접근통제 5항, 9항)

  정보통신서비스 제공자등은 정보통신망을 통한 불법적인 접근 및 침해사고 방지를 위해 다음 각 호의 기능을 포함한 시스템을 설치,운영하여야 한다.

      1. 개인정보처리시스템에 대한 접속 권한을 IP주소 등으로 제한하여 인가받지 않은 접근을 제한

 

  ⑨ 정보통신서비스 제공자등은 처리중인 개인정보가 인터넷 홈페이지, P2P, 공유 설정 등을 통하여 열람권한이 없는 자에게 공개되거나 외부에 유출되지 않도록 개인정보처리시스템 및 개인정보취급자의 컴퓨터와 모바일 기기에 조치를 취하여야 한다.

 

  개인정보의 안전성 확보조치 기준(제6조 접근 권한 1항, 3항)

  ① 개인정보처리자는 정보통신망을 통한 불법적인 접근 및 침해사고 방지를 위해 다음 각 호의 기능을 포함한 조치를 해야 한다.

1. 개인정보처리시스템에 대한 접속 권한을 IP 주소 등으로 제한하여 인가받지 않은 접근을 제한

 

  ③ 개인정보처리자는 취급중인 개인정보가 인터넷 홈페이지, P2P, 공유설정, 공개된 무선망 이용 등을 통하여 열람권한이 없는 자에게 공개되거나 유출되지 않도록 개인정보처리시스템, 업무용 컴퓨터, 모바일 기기 및 관리용 단말기 등에 접근 통제 등에 관한 조치를 하여야 한다.

 

 

■ 관리자 페이지 노출을 이용한 추가 공격 예시

- 정보 수집 과정에서 워드프레스 관리자 페이지 접근 가능하다는 사실을 확인

- 워드프레스 스캔 툴인 wpscan을 통해 계정 brute force 진행 시 ID/PW가 'admin/admin'임을 확인

- 워드프레스 파일 업로드 취약점을 활용하여 웹쉘 업로드 후 웹 권한 탈취 성공 확인

- 자세한 과정은 하기 링크 참조

- https://sheow13.tistory.com/2

 

Vulnhub[BTRsys 환경 실습]

■ BTRsys 환경 실습 □ 실습 환경 - VMware로 구성 - Kali Linux[설치 경로 : https://www.kali.org/get-kali/#kali-virtual-machines] - BTRsys[설치 경로 : https://www.vulnhub.com/entry/btrsys-v21,196/] □ 진행 절차 Step 1. BTRSys 환경

sheow13.tistory.com

 

[워드프레스 관리자 페이지 접근 가능 확인]

 

[워드프레스 스캔 도구인 wpscan을 통해 조회해본 결과, 'admin'이라는 사용자 계정이 있는 것으로 확인]

 

[wpscan 기능 중 사전 대입 기능을 이용하여 패스워드 크랙 성공 확인]

 

[워드프레스 테마에서 입력값에 대한 검증을 하지 않는 것을 이용하여, 테마에 생성한 웹쉘 등록]

 

[리버스 쉘 연결 대기할 Kali Linux IP 및 Port 설정 후 웹쉘 경로로 접근 시 리버스 쉘 연결 확인]

 

 

■ 관리자 페이지 노출 점검 방법

수동 점검

- 웹사이트의 사용자 인수 값을 입력받은 애플리케이션에 관리자 페이지 Cheat Sheet 입력 후, 관리자 페이지 접근 가능 여부 확인

 

자동화 도구를 통한 점검

- 자동화 도구(Ex, Burp Suite Pro, Acunetix )를 사용하여 점검하고자 하는 사이트에 디렉토리 인덱싱 취약 여부 점검

- 아래 예시는 Kali linux에서 제공하는 Dirbuster 도구를 예시로 들었으며, 다른 도구 등을 통해서도 점검 가능

 

 

■ 관리자 페이지 노출 조치 방안

1. 인가된 사용자만 접근할 수 있도록 ACL 설정

".htaccess" 파일에서 관리자페이지 ACL 설정

더보기

<Directory "/usr/local/www/admin/">
order deny, allow
deny from all
allow from 1.1.1.1        // 1.1.1.1 IP만 접근되도록 설정

</Directory/

 

2. 세션 검증을 통해 인가된 사용자만 접근하도록 설정

'모의해킹&웹취약점진단 > 주•통기반 웹 취약점 점검' 카테고리의 다른 글

16. 세션 예측 & 세션 고정 취약점  (2) 2024.01.02
02. 포맷 스트링 취약점  (0) 2024.01.02
14. 취약한 패스워드 복구 취약점  (0) 2023.12.30
12. 약한 문자열 강도 취약점  (2) 2023.12.27
08. 디렉토리 인덱싱 취약점  (0) 2023.12.26

'모의해킹&웹취약점진단/주•통기반 웹 취약점 점검'의 다른글

  • 현재글24. 관리자 페이지 노출 취약점

관련글

티스토리툴바