ABOUT ME

-

Today
-
Yesterday
-
Total
-
  • 관리자 페이지 노출(with 평문 노출 취약점)
    Security/Web 2018.07.28 11:40

    관리자 페이지 노출

    관리자페이지 주소를 추측하여 외부에서 접속할 수 있는 취약점입니다.

    관리자페이지가 노출된 경우 계정 추측이나 인증 우회를 통해 비인가자가 로그인 할 수 있는 가능성이 있습니다.

     


    실습

    대상 웹 서버에 관리자 페이지 노출 취약점 외에도 다른 취약점이 있는지도 함께 확인해보도록 하겠습니다.

     

    paros에서 spider를 통해 웹 서비스의 계층 구조를 알아봅니다.

    admin폴더가 관리자와 관련있을 가능성이 높아보입니다.

     

    따라서 직접 접속 해보았더니 관리자 페이지가 맞았습니다.

     

    sql injection으로 인증우회를 해봅시다.

     

    관리자 페이지에 로그인한 화면입니다.

     

    관리자 정보 변경 페이지입니다.

     

    마스킹 여부를 확인해봅니다.

    기존 비밀번호는 마스킹되지 않았으므로 취약하다고 볼 수 있습니다.

    (화면에 마스킹처리가 되어있어도 소스보기로는 다 보이는 경우가 있습니다. 마찬가지로 취약하다고 봅니다. 밑에 직접 확인해보도록 하겠습니다.)

     

    또한 마스킹되어있는 정보도 실제로는 평문전송 됨으로 취약하다고 판단할 수 있겠습니다.

    [paros로 확인한 모습]

     

    [wireshark로 확인한 모습]

     

    참고로 패킷 쉽게 찾을 수 있는 꿀팁 입니다.

    버튼을 눌러서 아래와 같이 찾으면 됩니다.

     

     

    참고 1)

    구글링을 통해서도 관리자 페이지 노출이 되는 것을 확인할 수 있습니다.

     inurl.co.kr inurl:admin

    관리자 페이지는 도메인 뒤에 admin, master, administrator를 붙이는 경우가 많습니다.

    종류

    주소

    관리자 페이지

    http://www.victim.com/admin

    http://www.victim.com/manager

    http://www.victim.com/administrator

    http://www.victim.com/webmaster

    http://www.victim.com/master

    Tomcat

    http://www.victim.com/manager/html

    http://www.victim.com:8080/manager/html

    WebLogic

    http://www.victim.com:7001/console

    wesphere

    http://www.victim.com:7090/admin

    http://www.victim.com:9090/admin

    http://www.victim.com:9043/admin(HTTPS)

    resin

    http://www.victim.com:8080/resin-admin

    Jeus

    http://www.victim.com/webadmin

     

    관리자 페이지를 찾으면 로그인도 한번 해봐야 겠죠?

    추측 가능한 계정이 여러 개 있습니다. 이를 통해서 로그인 합니다.

    (참고로 오래된 기간인 경우에는 아이디와 비밀번호를 사번으로 하는 경우가 많기 때문에 구글링을 통해 사번이 노출된다면 이를 통해서도 로그인 시도를 해보면 됩니다. Ex. site:~~~ inurl:file) 

    구분

    추측 가능한 계정

    아이디

    admin, administrator, master, webmaster, manager, guest, test, tester, root, anonymous, ftpuser, system

    패스워드

    1, 1111, 1234, test, tester, tester1234, test1234, admin, qwer, root, asdf, asdf1234, test!@#$, qwer1234

     

     

    참고 2) 

    위에서 화면에 마스킹처리가 되어있어도 소스보기로는 다 보이는 경우가 있다고 말씀드렸습니다.

    아래의 개인정보 수정 페이지를 보면 비밀번호 부분이 마스킹 처리가 되어 있습니다.


    그러나 소스보기를 통해 확인해보면 비밀번호가 그대로 드러나는 것을 알 수 있습니다.

    'Security > Web' 카테고리의 다른 글

    검증되지 않은 리다이렉트  (0) 2018.07.29
    pangolin 사용법  (0) 2018.07.29
    관리자 페이지 노출(with 평문 노출 취약점)  (0) 2018.07.28
    Directory Listing 취약점  (0) 2018.07.28
    불필요 정보노출 취약점  (0) 2018.07.28
    File Upload 취약점  (1) 2018.07.22

    댓글 0

~ ^ . ^ ~