暗行御史

중국의 홍커 사이트에서 가르치는 WebLogic 공격방법이다.

자세히 공격하는 방법을 설명하고 있다.

웹로직의 관리자 포트를 확인 후 기본 계정을 찾는다는 얘기인데.. 중국어지만
사진만 보고 알 수 있을 것 같다. [자삭보안으로 필자가 최소한의 보안처리(아스키)처리함 --;]

적을 알아야 막을 수도 있다. 하지만 적이 보이지 않는다는게 더 두려울 뿐이다.

[출처] 보안 위험상 생략
hxxp://www.hackest.cn/post/94/#entrymore

此文章已发表在《黑客X档案》2008年第11期杂志上
后经作者发布在博客上，如转载请务必保留此信息！

Tomcat估计给很多人带来了N多肉鸡服务器了吧，直接扫描弱口令，进入Tomcat管理后台，上传Webshell就得到一台肉鸡服务器了，操作之简单，效率之高，实在是抓鸡必备！不过这次要介绍的是一个类似于Tomcat的JSP支持平台WebLogic漏洞的简单利用（其实也是默认口令），相比Tomcat会稍微复杂一些，不过操作起来也是比较容易的。

一、寻找目标

1、批量扫描WebLogic缺省的WEB管理端口（http为7001，https为7002），开放这两个端口的一般都是安装有WebLogic的主机。
2、Google搜索关键字“WebLogic Server Administration Console inurl:console”，URL后面是console结尾的，一般为目标。
3、IISput批量扫描，当发现HTTP banner下显示“WebLogic Server”字样的一般为使用WebLogic的网站，如图1。



二、默认口令攻击

在找到的目标URL后面加上console，回车就会自动跳转到管理登录页面。默认的缺省密码有以下几组：
1、用户名密码均为：web*****(자삭보안)
2、用户名密码均为：sy***(자삭보안)
3、用户名密码均为：portal****(자삭보안)
4、用户名密码均为：g****(자삭보안)
如果尝试完了都不能登录，可以交叉换用用户名和密码，比如用户名为web****(자삭보안)，密码为sys***(자삭보안)，这个可以自己灵活变通，当然也可以做个字典文件暴破。示例目标的用户名密码均为web****(자삭보안)，分别在Username和Password填入web****(자삭보안)，即可进入管理后台（需要安装jre，否则看不到正面介绍的内容），如图2。



然后找到“mydomain”->“Deployments”->“Web Application Modules”->“Deploy new Web Application Moudule...”，如图3。



再点选图4里的“upload your file(s)”，在跳转后的页面上传war包（war包和Tomcat弱口令利用的包一样，注意马的免杀即可），如图4、图5。





然后在upload目录下找到刚才上传的mickey.war并选中，再点击“Target Module”
，然后“Deploy”，如图6、图7。





部署完毕后就会在“Web Application Modules”下面看到mickey项，如图8。



最后就可以访问Webshell了，URL格式为：http://www.xxx.com/mickey/j1.jsp（j1.jsp为JSP后门文件名，这个是在war包里面设置的），Windows系统下为system权限，Unix/Linux下为root权限，如图9、图10。





三、攻击防范

可以防火墙设置过滤7001、7002端口，也可以设置只允许访问后台的IP列表，如果非要远程管理WebLogic，就要设置一个比较强壮的密码口令。点击“Security”->“myrealm”->“Users”->“要更改密码的用户名”，然后在“New Password”填入新密码，在“Retype to Confirm”再次填入新密码，然后“Apply”即可更改密码，如图11。



四、补充知识

在Unix/Linux系统环境下，按上述方法得到的JSP Webshell的文件列表功能不可用。除非文件位于war包之外，也就是说可以把war包内的JSP木马复制到Web服务器的另一个单独的目录里即可正常使用。
-------------------------------------------------------------

홍커가 무서운 건 실제 사이트를 대상으로 교본을 만든다는거다. ㅜㅜ
개념이 없는건가.. 쩝


[Notice: 본 글에 대하여 학습 및 보안 강화를 위해 참고하시고, 만약 악의적인 사용시 사용자 본인의 책임을 명시합니다.]

흥미로운 레포트가 있네요. iMPERVA에서 8월달에 나온 "Hacker Intelligence Summary Report"에 따르면 일반적으로 많이 얘기하는 "Google Hacking” 혹은 "Google Dorks"을 이용한 vulnerable 쿼리가 일상적으로 8만건에 이른다고 합니다.
즉, 구글, bing 혹은 야후등의 서치엔진을 통해 해커들에게 많은 정보를 얻는다는 얘기입니다.  저 또한 PT때 사용하긴 합니다만..실질적인 수치 확인된 건 이 레포트가 첨이군요.

자랑스런 대한민국이 Dork에 2%를 차지합니다. 프랑스, 벨기에..와  동등하군요.ㅎ

<아래사진은 색깔로 구분한 국가별 dock 쿼리량 분포도>

결국 공개 툴에 대한 사용을 조심해야 하고 구글 봇에 cache를 남기지 말아야 한다는 간략한 보안 생각입니다.

[출처]
http://www.imperva.com/docs/HII_The_Convergence_of_Google_and_Bots_-_Searching_for_Security_Vulnerabilities_using_Automated_Botnets.pdf

Inj3ct0r wishes you a Happy Milw0rm 1337 Day!!! Congratulations all h4x0rz

예전 Milw0rm을 잇는 사이트.. exploit-db와 거의 동일한 데이터가 올라와 있다.

http://1337day.com

갈수록 해킹 툴은 강력해져만 간다. 클릭 질 최소 5번이면 사이트가 열리고..10번이면 끝이다.

정말 해킹에 기술이 없어도 될만큼 위험한 툴들이 너무 많다.

그 중에 너란 넘은 정말 울트랑캡숑짱~ 이다. -ㅅ-;

웹, 서버, 네트웍, DB 진단을 잘해도 이 넘 앞에는 아직까지 장사가 없다.

"스크립트 키디" 라고 하는데 과연 이들을 무시할 정도로 우리 보안은 안전한가?
필자의 생각으로는 "스크립트 키디는 소말리아 같은 내전있는 국가에서 AK소총을 든 소년 병사들과 같다." 무슨 의미인지 다 얘기 안해도 알 것이다. 방아쇠를 당길 줄만 알면 어린 아이들이라도 사람을 죽일 수 있는 것과 같다는 얘기이다.

진정 Pentest 툴인가? 필요 惡 인듯 싶다.

[위키백과 : 스크립트 키디(script kiddie), 또는 스키디(skiddie)는 해커 문화에서 컴퓨터 시스템과 네트워크를 공격하기 위해 다른 사람이 개발한 스크립트나 프로그램을 사용하는 사람을 경멸적으로 부르는 말이다. 스크립트 키디는 보통 정교한 해킹 프로그램을 짜거나 활용할 수 있는 능력이 부족한 어린 아이를 말하며, 자신의 친구에게 자랑을 하거나 컴퓨터 전문가 공동체로부터 신용을 얻는 것을 목적으로 해킹을 시도한다.]

[출처] http://www.sector.ca/

※ 주의해서 살펴봅시다.

어느날 급여 명세서가 PDF파일로 메일로 넘어왔다.

혹은 다른 사람의 급여 명세서가 나에게로 넘어왔다면...

당신은 열어볼 것인가?  

YES or NO

:-)

.
.
.
.

.
.
.
.

이 첨부파일을 열었을때 혹시 제 블로그에 공지사항과 함께 경고문 브라우져가 열린다면
당장 PDF Viewer를 최신으로 업데이트 하시길 바랍니다.

실제 상황에서 만약 브라우져가 열렸다면 그 순간 당신의 PC는 Game OUT!

P.S: PDF는 순수한 교육용으로 만든 자료입니다.

행안부 개인정보보호과에서 구글 캐쉬에 남아있는 개인정보 및 민감한 정보에 대한 삭제 방법을
매뉴얼로 만들어 배포한 PDF가 있어 공유합니다.

이눔의 구글 봇 +ㅁ+;

[자료제공] 행정안전부

2010년 행안부에서 "웹응용프로그램개발보안가이드" 즉 시큐어 코딩을 만들어 배포하였다.

ASP, JSP, PHP로 되어 있으며 취약점에 대해 친절히 설명(?)해주고 있다.

목차는 아래 사진과 같다.

[출처] 행정안전부
http://www.mopas.go.kr/gpms/ns/mogaha/user/userlayout/bulletin/bonbu/elet/userBtView.action?userBtBean.bbsSeq=1017365&userBtBean.ctxCd=1151&userBtBean.ctxType=21010002&currentPage=1

작년으로 기억난다.. 2010년 6월 9일 대륙에서 반한류 감정이 극으로 치달았던 그 사건..
(네X버 혹은 구글신께 검색하시면..상세히 나옴)

'69 성전' 이란 코드명으로 홍커들이 재미삼아(?) 국내 사이트들을 무차별 공략했었다.
그 당시 많은 대 기업 보다는 중소 기업의 피해가 컸었는데.. 그 때의 흔적이 아직도 국내에 남아있었다.

[중국 어느 블로그..]

다시 그들이 공격해 온다면..어떻게 대처해야 하는가.. 막아야 하는 입장에서 고민해본다. -ㅅ-;;

2년전 경악했던 96750개의 웹쉘을 기억하는지..
SecurityPlus에 간략하게 올리기도 했고 국정원, Krcert에도 신고하기도 했던 ..그 사이트;;

심심해서 오랜만에 다시 들어가 봤다.
아직도 운영 중이고 올려졌던 웹쉘은 거의 삭제되었지만..아직도 드문 드문 남아있었다.
그것도..우리나라꺼 ㅜㅜ

[중국의 한 숙주 사이트..]

그 당시 굴지의 대기업 K사도 있어, 직접 연락드렸는데..
돌아오는 답변은 "네~"
끝~! +ㅁ+;;

무언가를 바라는건 아니었다. 함튼 무언가가..느낌이 .. 아시죠? ㅎㅎ

함튼 대륙 조심합시다.