WebDAV 취약점

개요

HTTP(S) 프로토콜의 확장 기능으로 원격으로 웹 서버를 read/write(읽기/쓰기)가 가능하도록 만들어줍니다. 또한 사용자가 해당 서버에 문서를 생성하고 이동도 가능하지만, 올바른 보안설정이 되어 있지 않으면 공격자는 악성 파일을 업로드해서 시스템에 침투하거나 파일을 변조하여 가용성 또는 무결성을 침범할 수 있습니다.

 

여기서 말하는 잘못된 보안 설정이란

(1) 사용하지 않지만 활성화 해 둔 경우

(2) 사용하고 있지만 접근하지 말아야 될 곳에 Write(쓰기) 권한이 부여된 경우

 

상위의 2가지 요건이 충족된다면 해커는 악의적인 웹쉘 파일을 업로드하여 과도한 권한이 부여된 "index.php" 파일을 변조하여 DBD(Drive by Download) 공격을 시도하거나 홈페이지 자체를 변조시켜 서비스를 불능으로 만들어버릴 가능성이 존재합니다.

 

WebDAV가 활성화된 대상 서버에 존재하는 파일 리스트들이 확인되고 있습니다. 공격자는 WebDAV 디렉터리에 접근하여 악성 파일을 업로드할 수 있습니다.

 

webdav 가 활성화 중인지 그리고 어떠한 메서드를 허용하고 있는지 확인하기위해 GET 메소드를 --> OPTIONS로 변경해주고 주소를 제외한 나머지 영역은 모두 날리고 Forward 해줍니다. 그럼 history 안에 원하는 정보가 담겨 있을 것입니다.

 

HTTP history의 Response라는 응답란에 허용하고 있는 메소드 리스트들이 노출되었습니다.

OPTIONS : 웹 서버에서 지원되는 메서드의 종류를 확인할 때 사용
PUT : Upload 하는 기능을 가졌음
HEAD : 웹 서버의 버전 정보, 헬스체크, 최종 수정 일자 등 확인용도

 

정상적인 요청을 받은 후 put 메서드를 사용하여 원하는 파일을 업로드시킬 수 있습니다. 성공적으로 반응한다면 해당 페이지에는 Created라는 문구가 나옵니다.

 

활성화된 WebDAV를 식별하고 대상 서버에서 허용시켜둔 "PUT" 메서드를 활용하여 프록시 툴을 통해 성공적으로 갱신시켜줬습니다.

 

프록시 도구 이외에 접근 방법

(1) FTP의 계정과 권한 체크

(2) cadaver 도구를 통해 업로드

 

웹 프록시 도구 이외에 또 다른 방법으로는 FTP 서비스의 익명 계정과 권한을 체크하여 위처럼 비슷하게 업로드하여 접근이 가능해집니다.

 

마지막으로 Kali에 내장되어 있는 "cadaver"이라는 도구를 활용하여 원하는 파일을 업로드할 수 있습니다. cadaver 툴은 WebDAV를 다룰 수 있는 리눅스용 도구로 원격으로 다양한 메소드를 지원하며 간단한 CLI 형식입니다.

 

위에 방식과 마찬가지로 PUT 메소드를 사용하여 WebShell을 업로드하였습니다. 페이지로 돌아가 확인해보겠습니다.

 

WebShell.php가 Webdav 디렉토리에 업로드되고 실행까지 할 수 있게 되었습니다. 여기서 추가적으로 공격자는 자신의 기록을 지우고 페이지를 변조하거나 소스를 변조함으로써 불특정 다수가 큰 피해를 초래할 수 있게 됩니다.

 

Metasploit 을 활용한 WebDAV 공격

 msfconsole
 msf5 > use auxiliary/scanner/http/webdav_scanner  --> WebDAV 활성화 여부 스캔 
 msf5 auxiliary(scanner/http/webdav_scanner) > set RHOSTS 192.168.0.131
 RHOSTS => 192.168.0.131
 msf5 auxiliary(scanner/http/webdav_scanner) > set THREADS 20
 THREADS => 20

 msfconsole
 msf5 > use auxiliary/scanner/http/webdav_website_content  --> WebDAV 컨텐츠 열거
 msf5 auxiliary(scanner/http/webdav_website_content) > set RHOSTS 192.168.0.131
 RHOSTS => 192.168.0.131
 msf5 auxiliary(scanner/http/webdav_website_content) > set THREADS 20
 THREADS => 20
 msf5 auxiliary(scanner/http/webdav_website_content) > run
 msf5 auxiliary(scanner/http/webdav_scanner) > run

대응 방안

 < insecure SourceCode >
 ExtendedStatus On
 <Location /server-status>
 SetHandler server-status
 Order deny,allow
 Allow from all
 </Location>

 # Allows WebDAV, not secure!!!
 Alias /webdav /var/www/bWAPP/documents
 <Location /webdav>
 DAV On   --> Webdav 활성화되어 있음
 </Location>
 
 < Secure SourceCode >
 Alias /webdav /webdav
 <Location /webdav>
 Options Indexes
 DAV On  --> Webdav 서비스는 활성화 되어있지만 시스템 사용자에 한하여 접근제어 수행중
 AuthType Basic
 AuthName "webdav"
 AuthUserFile /etc/apache2/webdav.password
 Require valid-user
 </Location>

 <!--IIS 의 WebDAV 설정-->
 *IIS 구성시 WebDAV는 기본적으로 설치됨(IIS 6.0 버전부터 기본적으로 비활성화)
 (1)WIN 2003 -> 2003 R2 버전은 업데이트 중지된 버전
 시작 -> 실행 -> INETMGR -> 웹 사이트 -> 웹서비스 확장으로 들어가서 "WebDAV 금지"
 
 (2)WIN 2008,2012
 IIS관리자 -> 서버 선택 -> IIS -> ISAPI 및 CGI 제한 -> WebDAV 항목 선택 -> [작업]에서 제거하거나
 ,편집 -> " 확장 경로 실행 허용(A) " 부분 체크해제