Mitre ATT&CK -Initial Access[File Upload 취약점]

■ 실습 환경

- metasploit2에서 진행

 

■ Apache tomcat 파일 업로드 취약점

- Tomcat manager 페이지에서 WAR 파일 업로드 시 입력값에 대해 검증하지 않아 취약점 발생

- 공격자는 정보수집(정찰) 과정을 통해 획득한 정보로 초기 진입(Initial Access)을 진행하는 사례로, 시스템 보안 결함을 이용하여 공격을 진행(Exploit Public-Facing Application)하는 방식으로 침투 진행

- 해커는 기본적으로 Tomcat 관리자 계정을 탈취 후 웹쉘을 WAR 파일로 업로드 후 웹쉘을 통해 시스템의 중요 파일 다운로드 및 중요 파일 삭제 등을 진행할 수 있음

- 주요정보통신기반시설 취약점 분석평가 中 22. 파일 업로드에 해당

- 이번 실습에서 해당 취약점을 이용하여 리버스 쉘 획득이 목표

 

■ 진행 절차

Step 1. 정보수집 과정에서 Apache 버전 정보, 관리자 페이지 노출, 불필요한 메소드 사용(Ex, PUT, DELETE) 등의 취약점이 있는 것으로 확인. 

[nmap 조회 결과 Apache 버전 정보 노출 확인]

[nikto 조회 결과 관리자 페이지 노출 등의 취약점 확인]

[관리자 페이지 접근]

[nikto를 통해 수집한 톰캣 관리자 페이지 및 계정 정보로 접근 시도 ]

[톰캣 관리자 페이지 접근 성공 확인]

 

Step 2. Tomcat Manager 페이지는 WAR(WebApplication Archive) 파일을 올릴 수 있는 파일 업로드 취약점이 존재. 파일 업로드 취약점을 통해 웹쉘을 업로드 시 정상적으로 업로드 및 리버스 쉘 획득 확인

 

[Tomcat manager에서 war 파일 업로드 가능 확인]

[test.war 파일 업로드 확인]

[test.war 파일 안에 웹쉘로 동작할 수 있는 Server Side Script인 jsp 경로로 접근 시 metasploit2 디렉토리 정보 확인]

[업로드한 웹쉘을 통해 시스템 명령어 입력 시 정상 동작 확인]

[리버스 쉘 연결을 위해 Kali Linux에서 대기]

[칼리 리눅스로 리버스 쉘 연결 시도]

[리버스 쉘 획득 성공]