🤔 가장 쉬운 해킹!

해킹 알려줄게

9화: Command Injection

안녕하세요! 오늘의 해킹 알려줄게는 Command Injection입니다. 🙂

Command Injection은 해석하면 명령 주입 취약점으로, 이름으로 짐작해보면 해커가 입력한 명령어가 그대로 실행될 수 있는 걸까요? 😱

해당 취약점은 리눅스 뿐 아니라 웹에서도 발생하는 취약점이지만, 이번에는 시스템 해킹 관점에서 설명해드릴게요. 😆

해커는 무슨 명령을 내릴까요? 👿

잠깐, 시작하기 전에 리눅스의 여러 메타 문자를 아시나요? 🤓

;, &&, ||, < 등 메타 문자를 잘 모르겠다면 Hackyboiz의 해키피디아를 보고 오는걸 추천드릴게요.

[해키피디아] Linux Command Injection에서 활용할 수 있는 metacharacters

여기서 중요한 것은 '엔터를 한 번만 눌러도 여러 명령어를 실행할 수 있다는 것' 입니다! 🤨 이것을 어떻게 활용할 수 있을지 같이 알아봐요!

Command Injection이 뭐에요? 🧐

Command Injection(명령 주입)은 사용자의 입력을 필터링하지 않을 때, 사용자가 의도하는 명령을 추가적으로 삽입하여 호스트 운영 체제(OS)에서 임의의 명령을 실행할 수 있습니다.

대표적으로 사용자의 입력이 system() 함수의 인자로 사용되거나 웹에서는 사용자 제공 데이터(서버에 전달하는 양식, 쿠키, HTTP 헤더 등)가 시스템 쉘에 전달될 때 입력을 검사하지 않는 것이 문제가 됩니다.

바로 이때, 위에서 말했던 '엔터를 한 번만 눌러도 여러 명령어를 실행할 수 있다는 것' 의 진실을 알겠네요.

바로 프로그램이 예상했던 명령어(command1) 하나 넘겨주고, 그 뒤로 실행하고 싶은 명령어(command2, command3, ..... )를 껴넣을 수 있습니다.

아무튼 항상 사용자의 입력을 검사하지 않는 것이 문제가 되네요. 😒

시스템 해킹(pwnable) 문제를 풀다 보면 항상 우리 가슴을 두근거리게 만드는게 system() 함수죠? 😆 system("/bin/sh");의 형태를 가장 많이 보셨을 것 같아요.

system() 함수의 원형은 int system(const char* command)으로 인자인 command를 시스템에 명령어로 바로 전달해요. 대충 들어도 엄청 위험해보이나요? Command Injection의 Command가 바로 저 system() 함수의 인자를 말하는 것같네요.

command_injection 파일을 실행하면 첫 번째 인자값에 해당하는 cat 명령어로 파일을 읽습니다.

하지만 이때, command를 필터링하는 과정이 없기 때문에 추가적으로 ;을 사용해서 command를 추가해볼게요! " "를 사용하여 하나의 문자열로 전송할 수 있습니다.

"Hacking.txt; cat Hacking_JJack.txt"로 한번에 인자를 보내주면 뒤이어서 Hacking_JJack.txt의 파일도 읽게 됩니다.

파일에 SetUID가 설정되어 있으면 일반 사용자는 해당 파일의 소유자 권한을 가지게 됩니다. 이때, command_injection 파일이 root 소유자에 SetUID가 설정되어 있다면, root 권한의 쉘을 딸 수도 있겠네요! 😱

그리고 만약 rm -rf / 명령을 내린다면 어떤 일이 벌어질지 생각조차 하고싶지 않네요. 시스템의 모든 파일을 강제로 삭제해버립니다.

Christmas CTF 2020의 oil system 문제를 아시나요?

Fabu1ous님이 만들고 고통받은 문제입니다. 🤣 이 문제는 파일의 이름을 사용자가 입력할 수 있고, Out of Bounds(OOB) 취약점을 이용해 리턴값을 조작하도록 만든 문제였는데 의도하지 않게 바로 이 Command Injection으로도 풀렸기 때문이죠!

바로 이 부분이 파일명을 필터링하는 함수였습니다. 왜 Command Injection이 발생했는지 알아보죠. 🕵🏻

영문 소문자(a~z) 이외의 사용자 입력이 들어오면 종료하도록 하지만, 모든 입력을 검사하는 것이 아닌 첫 문자만 검사하네요. 😱 따라서 a;sh 등의 입력으로 쉘을 실행할 수 있었다고 해요. 🤯 실제로 많은 분들이 Command Injection으로 풀어주셨습니다.

자세한 문제 해설과 라이트업이 궁금하시면 참고해주세요!

[Write-Up] Christmas CTF 2020 - oil system

꼭 명령어로만 공격이 가능한가요?

아니요! 스크립트가 실행될 때도 Command Injection 공격을 수행할 수 있습니다.

예시로 10월 2일날 작성된 따끈따끈한 하루한줄을 가져와봤어요.

요약하면 Cisco HyperFlex에서 3가지 취약점이 발견되었는데 그 중에 CVSS점수가 9.8로 가장 높은 취약점이 바로 Command Injection이네요. 쉬워보이지만 그만큼 강력한 취약점이라는 거겠죠. 😎

사용자에게 계정 정보를 입력받을 때, 파이썬 스크립트를 활용해 계정 정보를 해시화하는 작업을 수행합니다.

따라서 패스워드 필드에 아래와 같은 스크립트를 삽입하면 시스템을 재부팅시킬 수도 있어요.

마찬가지로 자세한 정보를 원하시면 블로그를 참고해주세요! 그리고 구경도 한 번.. 😄

[하루한줄] Cisco Hyperflex: How We Got RCE Through Login Form and Other Findings

어떻게 막을 수 있을까요?

우선 사용자의 입력을 그대로 시스템 명령으로 실행하지 않는 것이 가장 좋겠지만, 항상 그럴 수는 없겠죠. 😑

시스템 명령에 사용자 입력을 사용해야 하는 경우, 사용자의 입력을 검증하는 과정에서 허용된 명령에 대한 화이트리스트를 사용하는 것이 좋습니다. 허용된 명령어 또는 허용된 문자(예를 들어 숫자와 소문자만 허용)만 사용하도록 할 수 있겠죠. 또한 문자열의 길이를 10자로 제한하거나, && & || | ; $ > < \ ! 등의 문자를 블랙리스트에 포함하여 실행시키지 못하도록 해야합니다. 물론 ;만 블랙리스트에 넣고 &&는 허용하는 그런 일은 없어야겠죠.

그리고 프로세스에게 작업에 필요한 최소한의 권한만 제공하도록 하여 사용자가 명령을 주입할 수 있는 경우에도 권한이 제한되도록 해야합니다.

오늘도 읽어주셔서 감사합니다! 😄 금요일에도 재밌는 내용을 준비했으니 기대해주세요. 💌

by y00n_nms

오늘 전해드린 내용이 마음에 드셨나요?

주위 친구들에게 뉴스레터를 추천해주세요!

다음주에도 알찬 내용으로 돌아오겠습니다. 😙