메뉴 건너뛰기

Hello :0

Joomla JCE Remote File Upload

2013.09.29 13:52

Leekyu 조회 수:14307

1. 공격 유형

 - /index.php?option=com_jce&task=plugin&plugin=imgmanager&file=imgmanager&version=1576&cid=20

 - /index.php?option=com_jce&task=plugin&plugin=imgmanager&file=imgmanager&method=form&cid=20&6bc427c8a7981f4fe1f5ac65c1246b5f=9d09f693c63c1988a9f8a564e0da7743

 

 

2. Joomla  

 - 해당 공격은 Joomla의 JCE(Joomla Content Editor)라는 확장 프로그램에 의해 발생하고, 2.0.10 이전 버전에 대해서 발생한다. 현재 JCE는 2.3.3.2 버전이며 취약점이 존재하는 버전은 따로 공식 홈페이지에서 제공하고 있지 않으며, 찾기도 어려웠다. 

jce editor.png

 - JCE 1.5.75를 설치한 사진

 

 

3. 취약점을 실행하기 위한 툴은 Mostafa Azizi라는 해커에 의해서 만들어 졌고 php 버전과 perl 버전이 존재 한다. tool-1.png

 - 해커는 간단한 몇가지 정보와 PHP로 작성된 웹쉘 파일이 존재 한다면 손쉽게 exploit를 실행 할 수 있다. 

 - 위와 같이 입력을 하면 자동 적으로 공격이 시작된다. 

 

 

4. 공격성공 

attack_success.png

 -  약간의 시간이 지난 후 공격이 성공하면 위와 같은 메세지가 뜬다. 

 

 

webshell.png

- 공격이 성공 했을 경우 위의 URL로 이동하면, 웹쉘이 올라 갔음을 확인 할 수 있다. 

 

5. 공격 트래픽

attack_traffic.png

 - 공격 트래픽을 확인 해보면 공격지가 192.168.1.5로 실제 공격을 시도하는 곳의 IP가 아닌 JCE attack tool이 올려진 웹 서버이 때문에 실제 공격자를 찾기가 어려울 것이다.

 - Zoomla_File_Upload_Attack_Traffic.pcapng : 캡쳐 파일

 

 

post.png

 

6. IDS Signature

 - 와이어 샤크를 이용한 패킷 덤프를 확인해서 공격에 쓰인 구문을 확인 해 보았다.

  

option=com_jce&task=plugin&plugin=imgmanager&file=imgmanager&version=

 
option=com_jce&task=plugin&plugin=imgmanager&file=imgmanager&method=form&cid=20&6bc427c8a7981f4fe1f5ac65c1246b5f=9d09f693c63c1988a9f8a564e0da7743

 

/images/stories/0day.php

 

BOT/0.1 (BOT for JCE) 

 

- 확인된 구문을 이용해 Snort Rule를 만든다.

 

alert tcp any any -> $HOME_NET 80 (msg:"joomla_test_1"; content:"option=com_jce&task=plugin&plugin=imgmanager&file=imgmanager&method=form&cid=20&6bc427c8a7981f4fe1f5ac65c1246b5f=9d09f693c63c1988a9f8a564e0da7743" ; sid :100000)

 

alert tcp any any -> $HOME_NET 80 (msg:"joomla_test_2"; content:"option=com_jce&task=plugin&plugin=imgmanager&file=imgmanager&version=" ; sid :100001)

 

alert tcp any any -> $HOME_NET 80 (msg:"joomla_test_3"; content:"/images/stories/0day.php" ; sid :100002)

 

alert tcp any any -> $HOME_NET 80 (msg:"joomla_test_4"; content:"BOT/0.1 (BOT for JCE) " ; sid :100003)

 

 

7. Snort를 이용한 탐지

snort.png

 -  설정한 룰에 의해 Snort가 정상적으로 작동함을 알 수 있다. 정확한 확인을 위해 탐지된 이벤트를 클릭 해본다.

 

snort-detail.png