Joomla JCE Remote File Upload
2013.09.29 13:52
1. 공격 유형
- /index.php?option=com_jce&task=plugin&plugin=imgmanager&file=imgmanager&version=1576&cid=20
- /index.php?option=com_jce&task=plugin&plugin=imgmanager&file=imgmanager&method=form&cid=20&6bc427c8a7981f4fe1f5ac65c1246b5f=9d09f693c63c1988a9f8a564e0da7743
2. Joomla
- 해당 공격은 Joomla의 JCE(Joomla Content Editor)라는 확장 프로그램에 의해 발생하고, 2.0.10 이전 버전에 대해서 발생한다. 현재 JCE는 2.3.3.2 버전이며 취약점이 존재하는 버전은 따로 공식 홈페이지에서 제공하고 있지 않으며, 찾기도 어려웠다.
- JCE 1.5.75를 설치한 사진
3. 취약점을 실행하기 위한 툴은 Mostafa Azizi라는 해커에 의해서 만들어 졌고 php 버전과 perl 버전이 존재 한다. 
- 해커는 간단한 몇가지 정보와 PHP로 작성된 웹쉘 파일이 존재 한다면 손쉽게 exploit를 실행 할 수 있다.
- 위와 같이 입력을 하면 자동 적으로 공격이 시작된다.
4. 공격성공
- 약간의 시간이 지난 후 공격이 성공하면 위와 같은 메세지가 뜬다.
- 공격이 성공 했을 경우 위의 URL로 이동하면, 웹쉘이 올라 갔음을 확인 할 수 있다.
5. 공격 트래픽
- 공격 트래픽을 확인 해보면 공격지가 192.168.1.5로 실제 공격을 시도하는 곳의 IP가 아닌 JCE attack tool이 올려진 웹 서버이 때문에 실제 공격자를 찾기가 어려울 것이다.
- Zoomla_File_Upload_Attack_Traffic.pcapng : 캡쳐 파일
6. IDS Signature
- 와이어 샤크를 이용한 패킷 덤프를 확인해서 공격에 쓰인 구문을 확인 해 보았다.
option=com_jce&task=plugin&plugin=imgmanager&file=imgmanager&version=
/images/stories/0day.php
BOT/0.1 (BOT for JCE)
- 확인된 구문을 이용해 Snort Rule를 만든다.
alert tcp any any -> $HOME_NET 80 (msg:"joomla_test_1"; content:"option=com_jce&task=plugin&plugin=imgmanager&file=imgmanager&method=form&cid=20&6bc427c8a7981f4fe1f5ac65c1246b5f=9d09f693c63c1988a9f8a564e0da7743" ; sid :100000)
alert tcp any any -> $HOME_NET 80 (msg:"joomla_test_2"; content:"option=com_jce&task=plugin&plugin=imgmanager&file=imgmanager&version=" ; sid :100001)
alert tcp any any -> $HOME_NET 80 (msg:"joomla_test_3"; content:"/images/stories/0day.php" ; sid :100002)
alert tcp any any -> $HOME_NET 80 (msg:"joomla_test_4"; content:"BOT/0.1 (BOT for JCE) " ; sid :100003)
7. Snort를 이용한 탐지
- 설정한 룰에 의해 Snort가 정상적으로 작동함을 알 수 있다. 정확한 확인을 위해 탐지된 이벤트를 클릭 해본다.
댓글 0
| 번호 | 제목 | 글쓴이 | 날짜 | 조회 수 |
|---|---|---|---|---|
| 13 |
Apache struts2 RCE(Remote code execution) CVE-2017-5638, S2-045 취약점
 | Leekyu | 2017.03.19 | 2393 |
| 12 |
WordPress 4.7.0/4.7.1 - Unauthenticated Content Injection 취약점
| Leekyu | 2017.02.11 | 12494 |
| 11 |
Pydio / AjaXplorer 5.0.3 Shell Upload 파일 업로드 취약점
| Leekyu | 2016.08.27 | 1000 |
| 10 |
V2 Conference Video Conference System SQL injection Vulnerability.
| Leekyu | 2016.07.23 | 922 |
| 9 | Joomla JCE Remote File Upload file (upgrade version) | Leekyu | 2016.04.04 | 5028 |
| 8 | Exploit Code for ipTIME firmwares < 9.58 RCE with root privileges against 127 router models [1] | Leekyu | 2016.02.18 | 3508 |
| 7 |
Remote File Inclusion
| Leekyu | 2014.11.09 | 3362 |
| 6 | JBoss AS Remote Exploit [1] | Leekyu | 2014.09.23 | 2314 |
| 5 |
구글봇을 이용한 공격
| Leekyu | 2014.04.20 | 6995 |
| 4 |
Tomcat web application manager exploit
| Leekyu | 2013.10.13 | 4958 |
| » |
Joomla JCE Remote File Upload
| Leekyu | 2013.09.29 | 14693 |
| 2 |
HTTP server CONNECT method used to bypass filtering (HTTP_Connect_Proxy_Bypass_SMTP)
| Leekyu | 2013.09.25 | 19110 |
| 1 |
Dadong's JSXX 0.41 VIP 난독화
| Leekyu | 2013.07.03 | 951 |