2017. 12. 17.

[WebGoat] 설치 in Windows

1. Java JDK 설치
오라클 홈페이지에서 JAVA JDK 파일을 다운로드 한다. 기본적으로 파로스나 버프스위트를 사용하려면 JDK 를 설치해야 하기 때문에 이 부분은 그냥 패스해도 되는 사람이 많을 듯하다.

2. Tomcat 설치과정
톰캣 홈페이지에서 원하는 버전을 다운받는다. zip 파일 형태 파일을 받아 압축만 풀면 된다. 별다른 설치과정이 필요없다.

  • tomcat.apache.org/download-90.cgi

3. webgoat 설치


필자는 webgoat-container-7.0.1-war-exec.jar 를 다운받았다.

4. happy hacking 
java -jar webgoat-container-7.0.1-war-exec.jar 명령어를 실행시킨 후 사이트(http://localhost:8080/WebGoat)에 접속하면 다음과 같은 화면을 볼 수 있다.


이 버전으로 설치했을 때의 단점은 개발자 입장이 되어 조치까지 할 수는 없다는 것이다.

참조

  • http://news.grayhash.com/category/etc/webgoat

2017. 12. 14.

HTML 인젝션 (Reflected/Stored)

로그인을 하거나 검색을 하는 폼에 html 코드를 주입하여 다른 동작을 수행하게 되는 것을 의미한다.

예를 들어, 로그인 창에 입력하는 html 구문을 필터링 하지 않아 아래와 같이 가짜 로그인창을 생성 할 수도 있다.


Username:<br><input type="text" name="firstname"><br>Password:<br><input type="password" name="lastname">



입력값 중에 <.>,",'를 필터링 하기 위해 htmlspecialchars 함수를 이용하면 된다. 


아래와 같이 html 코드가 반영이 안되고 화면에 그대로 출력된다.



위의 HTML 인젝션 - Reflected 와 달리 stored는 다수의 사용자를 타겟으로 하기 때문에 파급력이 더 높다고 할 수 있다.

<a href=http://www.naver.com>download</a>


기존 html 코드를 필터링 하는 경우, URL / html encode 해서 테스트 해 볼 수도 있다. 즉 html 관련 취약점을 점검할 때는, %2F 와 같은 인코디 값을 받고 디코드해서 렌드링 하는 사이트를 찾아야 한다.

  • https://hackerone.com/reports/104543

또 하나 중요한 것은, 입력 form 에서만 렌더링 되는 것이 아니라, url 입력되어 있는 값이 렌더링 될 수도 있다는 것이다.
여기 해커원 보고서(https://hackerone.com/reports/111094)를 보면, https://withinsecurity.com/wp-login.php?error=access_denied 에서 error 파라미터 값이 화면에 렌더링 되는 것을 확인하고, 변조를 하여 https://withinsecurity.com/wp-login.php?error=Your%20account%20has%20%hacked 이런식으로 변조하여 사용자를 속일 수 있다고 경고했다.



2017. 12. 13.

[bWAPP] 환경 설정

bWAPP은 보안 진단자 및 학생들이 웹 취약점을 발견하고 제거 할 수 있도록 무료로, 오픈 소스로 배포된 취약한 웹 애플리케이션이다. (bWAPP 는 MySQL DB를 사용하는 PHP 애플리케이션이다.)

bWAPP를 사용할 때에는 웹 애플리케이션인 bWAPP을 해당 호스트에 설치하는 방법과 비박스를 가상환경에 설치하여 미리 설치된 bWAPP을 사용하는 방법이 있다.

bWAPP 홈페이지 : http://www.itsecgames.com/

1. 해당 호스트에 설치하는 경우

호스트에 설치하려는 경우에는, bWAPP 소스 코드를 다운받아 WAMP 나 XAMPP에 설치하여 운영 할 수 있다.

1) bWAPP 다운로드
https://sourceforge.net/projects/bwapp/files/bWAPP/bWAPP_latest.zip/download

2) WAMP 다운로드 및 설치
WAMP Server 는 APM 환경 웹 애플리케이션을 개발할 수 있는 윈도우 플랫폼이다.



정상적으로 설치되었다면 브라우저에 localhost를 입력했을때 다음과 같은 화면을 볼 수 있다.
간혹 MSVCR110.dll가 없어 프로그램을 시작 할 수 없다고 나올 때가 있는데 그럴때는 VC 2012 버전을 설치하면 된다. (아래 URL 참고)

  • https://www.samsungsvc.co.kr/online/faqView.do?domainId=&node_Id=NODE0000124880&faqId=KNOW0000030976
** 업데이트 수정 (2017.12.14)
기존 설정을 지우고 xampp 를 사용해서 설치하기로 했다.


  • https://dunnesec.com/2014/10/01/bwapp-bee-bug-installation/
  • https://www.youtube.com/watch?v=LAtoePj80EM -> 여기 동영상 보면서 해결했다. 



3) Database 연결정보 설정
www/bWAPP/admin/setting.php 파일을 에디터로 열어 자신의 DB 연결 정보에 맞게 DB 연결 정보를 수정한다. 설치 시 디폴트 설정으로 했다면 수정할 필요가 없다.





4) 로그인

로그인 페이지(http://localhost/bWAPP/login.php)로 이동하여 디폴트 계정(bee/bug) 을 입력하여 로그인 한다. 로그인 할때 security level 을 설정하여 로그인 할 수 있다.

2. bee-box 가상 이미지를 이용한 bWAPP 운용
bee-box를 사용할 때에는 가상머신에 비박스 환경을 만들기 위하여 VM 웨어나 버추얼박스로 비박스를 설치하여야 한다.

1) bee-box 다운로드 (bee-box_v1.6.7z)
bee-box 다운로드: http://sourceforge.net/projects/bwapp/files/bee-box/


2) 공격자 단말에서 칼리 리눅스와 윈도우 환경을 이용하고 대상 가상환경으로 비박스를 선택하였다. 가상머신은 비주얼박스를 이용하였다.

참고
  • bWAPP을 활용한 모의해킹 테스트 (https://www.slideshare.net/MalikMesellem/sans-2015-superbees-wanted?ref=https%3A%2F%2Fwww.slideshare.net%2Fslideshow%2Fembed_code%2F47129965)
  • 비박스 환경을 이용한 bWAPP 취약점 점검
  • http://preview.hanbit.co.kr/2841/sample_ebook.pdf
  • https://m.blog.naver.com/taeyoun795/220570721472
  • 저서, 비박스 환경을 활용한 웹 모의해킹 완벽 실습

2017. 12. 12.

URL인코딩, ASCII 인코딩

침투 테스트 입장에서 URL 인코딩은 XSS, SQL INJECTION 등 의 공격을 우회 할 때 주로 사용된다.

보통 hackbar 와 같은 url 인코딩 / 디코딩을 하면 제대로 url 만 인코딩 된다


  • <h1>This is a test</h1> -> %3Ch1%3EThis%20is%20a%20test%3C%2fh1%3E


그런데 영문 즉, 아스키 또한 인코딩 할 필요가 분명히 있을 텐데, 이럴 경우, 버프스위트 Decoder 기능을 이용하면 URL + ASCII 한번에 인코딩 된다.

  • %3c%68%31%3e%54%68%69%73%20%69%73%20%61%20%74%65%73%74%3c%2f%68%31%3e

확인이 필요한 사항 : 아래와 같은 인코딩 문은 html 디코더로 풀리는데, 왜 html 인코더로 평문을 다시 인코딩하면 아래와 같은 인코딩 문이 구현이 안되는가?

  • &#60;&#104;&#49;&#32;&#115;&#116;&#121;&#108;&#101;&#61;&#34;&#99;&#111;&#108;&#111;&#114;&#58;&#98;&#108;&#117;&#101;&#59;&#34;&#62;&#72;&#84;&#77;&#76;&#32;&#105;&#110;&#106;&#101;&#99;&#116;&#105;&#111;&#110;&#60;&#47;&#104;&#49;&#62;

침투 테스팅을 위한 파이어폭스 add on 도구들

아래의 웹 포스팅을 참고해서 파이어 폭스에서 사용 될 수 있는 취약점 점검 애드온을 정리해 보았다. 정리하고 테스트 하려고 하니 파이어 폭스 퀀텀 버전에서는 설치가 되지 않는 애드온이 많았다. 워낙 유명한 툴들이라 사용자들의 요구가 빗발치는 상황이다. 아래 내용을 읽어보고 테스트 해보는 것도 좋겠다. (2017.12.13 버전)
  • https://resources.infosecinstitute.com/use-firefox-browser-as-a-penetration-testing-tool-with-these-add-ons/#gref

1. FoxyProxy Standard
  • https://addons.mozilla.org/en-US/firefox/addon/foxyproxy-standard/
2. Firebug
  • https://addons.mozilla.org/en-US/firefox/addon/firebug/
3. Web Developer
  • https://addons.mozilla.org/de/firefox/addon/web-developer/
4. User Agent Switcher
버튼 클릭만으로 사용자를 스위치 할 수 있음. 스푸핑 테스트 할 때 사용. 
  • https://addons.mozilla.org/en-US/firefox/addon/user-agent-switcher/
5. Live HTTP Headers -> HTTP Live Header 로 변경
정말 필요한 프로그램. http request, response 헤더 값을 볼 수 있고 저장 할 수 있는.. 

6. Tamper Data

7. Hackbar -> new hackbar
간단하게 SQL, XSS 를 테스트 할 수 있다. 실제 익스플로잇 코드를 실행한는 것이 아니라서 안전하기 까지 하다. 또한 암호화, 복호화 툴의 역할도 수행한다. 
  • https://addons.mozilla.org/en-US/firefox/addon/hackbar/
8. Websecurity
  •  https://addons.mozilla.org/en-us/firefox/addon/websecurify/
9. Add N Edit Cookies
  • https://addons.mozilla.org/en-US/firefox/addon/add-n-edit-cookies-13793/
10. XSS Me
  • https://addons.mozilla.org/en-us/firefox/addon/xss-me/
11. SQL inject Me
  • https://addons.mozilla.org/en-us/firefox/addon/sql-inject-me/
12. FlagFox
  • https://addons.mozilla.org/en-us/firefox/addon/flagfox/
13. CryptoFox
  • https://addons.mozilla.org/en-US/firefox/addon/cryptofox/
14. Access Me
  • https://addons.mozilla.org/en-US/firefox/addon/access-me/
15. SecurityFocus Vulnerabilities search plugin
  • https://addons.mozilla.org/en-us/firefox/addon/securityfocus-vulnerabilities-/
16. Packet Storm search plugin
  • https://addons.mozilla.org/en-us/firefox/addon/packet-storm-search-plugin/
17. Offsec Exploit-db Search
exploit-db.com 에서 익스플로잇이나 취약점들을 검색 할 수 있다.
  • https://addons.mozilla.org/en-us/firefox/addon/offsec-exploit-db-search/
18. Snort IDS Rule Search
snort.org 웹 사이트에서 스노트 IDS 룰을 검색 할 수 있다.
  • https://addons.mozilla.org/en-US/firefox/addon/snort-ids-rule-search/



모의해킹 테스트 사이트 및 오픈 소스 모음

<모의해킹용 테스트 오픈소스>

Damn Vulnerable Web App
  • DVWA)(http://dvwa.co.uk/
Wiz-mall 위즈몰
  • http://www.shop-wiz.com/sub/wizmall
OWASP에서 웹 취약점 테스트를 위해 제공하는 VM웨어용 가상이미지 파일 다운로드 및 프로젝트 페이지
  • http://sourceforge.net/projects/owaspbwa/files/
리눅스, 아파치, PHP, MySQL의 보안을 학습하기 위한 가상환경을 제공
  • http://sourceforge.net/projects/lampsecurity/
웹취약점 테스트를 하기 위해 제작된 가상이미지
  • http://sourceforge.net/projects/websecuritydojo/
SQL 인젝션을 테스트하고 실험해 볼 수 있는 환경(소스)를 제공하는 사이트
  • https://github.com/Audi-1/sqli-labs

<테스트 사이트>

IBM에서 취약점 점검툴의 테스트를 위해 제공해주는 사이트
  • http://demo.testfire.net
침투테스트 가상환경을 샌드박스 형태로 제공하여, 온라인상에서 모의해킹을 해볼수 있는 사이트
  • https://hack.me/
온라인상으로 프로그래밍언어를 실행하고 컴파일할 수 있는 사이트
  • http://compileonline.com/
온라인 모의해킹 사이트
  • http://hack-me.org/index.php?p=home
OWASP 취약점을 바탕으로한 취약점 테스팅 가상환경
  • http://sourceforge.net/projects/vicnum/
다양한 환경에서 악의적인 코드를 분석할 수 있는 가상머신
  • http://bruteforce.gr/honeydrive
웹취약점 테스트 환경을 제공하는 사이트
  • https://www.pentesterlab.com/exercises
웹해킹 전문가가 만든 침투테스트를 위한 가상 이미지
  • https://bechtsoudis.com/work-stuff/challenges/drunk-admin-web-hacking-challenge/
다양한 모의 해킹를 실습하고 트레이닝할 수 있는 기능을 제공하는 툴
  • http://sourceforge.net/projects/null-gameover/
침투테스트 환경을 제공(DVL)
  • http://sourceforge.jp/projects/sfnet_virtualhacking/downloads/os/dvl/DVL_1.5_Infectious_Disease.iso/
모의해킹 연습 사이트 링크 모음
  • http://chogar.blog.me/80130034776


출처
  • http://hyess.tistory.com/417