Apache의 CGI모듈 - shellshock

 

셸쇼크 | Shellshock | CVE-2014-627*

위 포스팅 실습과 관련된 내용입니다 !

먼저 읽고 오시는 것을 추천드립니다 :)

 

 

이 머신에서는 Apache 서버를 사용했고, /cgi-bin 이라는 디렉터리와 user.sh CGI 스크립트가 있었습니다.

Q.  왜 User-agent 헤더에 삽입한 명령어가 실행되는 것일까?

Q.  리버스셸이 어떻게 동작되는 것일까?

 

 

위와 같은 질문을 해결하기 위해서 해당 글에서는 Apache의 CGI 모듈에 대해서 좀 더 알아보고, Shocker 머신의 설정을 살펴보려고 합니다.

 

---

CGI(Common Gateway Interface) 란?

CGI는 웹 서버가 프로그램을 실행하고 그 결과를 하나의 웹 페이지로 클라이언트에게 보내기 위해 만들어진 기술입니다. 동적이고 상호작용적인 웹 페이지를 구현하는 최초의 기술 중 하나라고 합니다. 당시 개발자들은 지금은 웹사이트의 당연한 기능인 웹사이트 이메일 기능, 게시판 운영, 검색 기능 등을 구현하기 위해서 CGI를 사용했습니다.

 

PHP 같은 스크립팅 언어가 인터프리터를 이용하여 코드를 실행하는 것과 달리 CGI는 운영체제에서 직접 명령을 실행하고 그 결과를 웹 페이지에 반영합니다. 따라서 CGI는 command injection 공격에 취약하지만 여전히 다양한 형태로 존재하고 있습니다. PHP나 Python 같은 용량이 큰 언어를 지원하기에는 처리 능력과 저장 공간이 부족한 내장형(임베디드) 시스템들에서 CGI를 사용할 가능성이 있습니다. (ex. 공유기 관리용 웹 인터페이스)

 

Apache에서의 CGI프로그램

Apache에서 CGI실행이 가능하도록 하는 설정에 대해서 살펴보겠습니다. 아파치 공식문서를 참고했습니다.

 

• ScriptAlias

ScriptAlias /cgi-bin/ /usr/local/apache2/cgi-bin/

ScriptAlias 지시어를 사용하면 아파치는 특정 디렉터리를 CGI 프로그램용으로 둡니다. 아파치는 이 디렉터리에 있는 모든 파일을 CGI프로그램이라고 가정하여 클라이언트가 자원을 요청하면 자원을 실행하려고 합니다. 

 

ex) 클라이언트가 아파치에게 http://10.10.10.56/cgi-bin/user.sh를 요청하면 아파치는 /usr/lib/cgi-bin/ 디렉터리에서 user.sh를 찾아서 CGI 프로그램으로 처리하여 실행 결과를 출력합니다.

 

 

• Options를 사용하여 명시적으로 CGI 실행을 허용하기

서버의 주설정 파일에 직접 Options 지시어를 사용하여 특정 디렉터리에서 CGI 실행을 허용할 수 있습니다.

<Directory /usr/local/apache2/htdocs/somedir>
Options +ExecCGI
</Directory>

어떤 파일이 CGI 파일인지도 알려야 합니다. AddHandler 지시어는 서버에게 확장자가 .cgi .pl인 파일은 모두 CGI 프로그램이라고 알립니다.

AddHandler cgi-script .cgi .pl

 

/etc/apache2/conf-available/serve-cgi-bin.conf

Shocker 머신에서는 /usr/lib/cgi-bin/ 디렉터리에 CGI 실행을 허용하고 있습니다.

/usr 하위 디렉터리에서 cgi-script 문자열이 포함된 파일 찾기

/etc/apache2 하위 디렉터리에서 cgi-script 문자열이 포함된 파일 찾기

/etc/apache2/mods-available/mime.conf

AddHandler를 찾긴 했지만 주석 처리가 되어 있었습니다.

하지만 AddHandler 없이도 cgi 파일이 실행됩니다..

직접 작성한 test2.cgi

설정을 못 찾은 걸까요, AddHandler가 없이도 실행이 되는 걸까요!?!

 

• StdEnvVars

이 옵션을 실행하면 SSL 관련 CGI/SSI 환경 변수의 표준 집합이 생성됩니다. 일반적으로 CGI 및 SSI 요청에 대해서만 이 옵션을 활성화합니다.

/etc/apache2/sites-available/default-ssl.conf

Shocker 머신에서는 /usr/lib/cgi-bin/ 디렉터리에 SSL옵션 중 하나인 StdEnvVars를 적용합니다.

 

 

---

 

다음은 CGI 프로그램을 작성하는 방법에 대해서 알아보겠습니다. 일반적인 프로그래밍과 CGI 프로그래밍에는 두가지 차이점이 존재합니다. 

 

 

  1. 다른 출력을 하기 전에 먼저 MIME-type 헤더를 출력해야 한다.

  2. HTML 혹은 브라우저가 보여줄 수 있는 형식으로 출력해야 한다.

 

 

"Content-Type"을 지정하여 클라이언트에게 클라이언트가 어떤 내용을 받게 될지 미리 알려야 합니다.

#!/usr/bin/perl
print "Content-type: text/html\n\n";
print "Hello, World.";

뒤에 개행문자가 2개인 것을 확인하시기 바랍니다 !

헤더와 본문을 구분하는 한 줄을 꼭 띄워줘야 합니다.

#user.sh

#!/bin/bash
echo
echo "Content-Type: text/plain"
echo ""
echo "Just an uptime test script"
echo
uptime
echo
echo

user.sh

Shocker에서도 이렇게 echo로 한줄을 띄워줍니다. 한줄을 띄워주지 않을시에 에러가 발생합니다.

user.sh에서는 Content-Type을 실제로 헤더에 넣은 것이 아니라 본문에 출력하게 해줬습니다.

 

헤더에 반영되도록 content.cgi를 작성하였습니다.

#!/bin/bash
echo "Content-Type: text/html"
echo 
whoami
date
echo "content.cgi"

+x 실행 권한을 줘야 합니다!

---

이제 아파치의 환경변수에 대해서 이해해보겠습니다.

 

아파치 웹 서버는 환경변수(envirionment variable)라는 변수에 정보를 저장합니다. 이 정보를 사용하여 로그나 접근제어 등 여러 작업을 조절합니다. 또, 환경변수는 CGI 스크립트와 같은 외부 프로그램과 통신하는 수단이 될 수 있습니다.

 

이 변수는 아파치 내부에 저장되고 사용되는 것으로 운영체제에서 말하는 환경변수와는 다릅니다. 환경변수는 CGI 스크립트나 Server Side include 스크립트로 넘겨질 때만 실제 운영체제 환경변수가 됩니다. 

 

여기서는 CGI 스크립트가 동작할 때 환경변수가 어떻게 전달되는지 위주로 알아보겠습니다.

 

CGI 프로그램을 실행할 때 서버와 브라우저는 각각의 환경변수를 서로 교환합니다. 이 정보에는 브라우저 종류(Netscape, IE, Lynx), 서버 종류(Apache, IIS, WebSite), 실행하는 CGI 프로그램명 등이 있습니다. 

#!/bin/bash                                                                                                                                                     
echo                                                                                                                                                            
echo this is env.cgi
echo
env

위 코드는 환경변수를 모두 출력하는 CGI 프로그램입니다. 

CGI 스크립트가 동작하면서 bash 쉘을 실행하고, bash 환경변수에 저장합니다.

 

( bash 동작 순서 )

bash 실행 → bash 환경변수 초기화 → bash prompt 출력 → 명령어 입력 → 명령어 수행

 

User-Agent 외에도 여러 헤더들이 환경변수로 저장되는 것을 확인할 수 있습니다.

다른 헤더들에도 command injection을 해보겠습니다.

Request 1줄과 2줄에서 SEVER_PROTOCOL이랑 HOST 빼고는 다 잘 동작합니다.

위와 같은 방식으로 환경변수가 저장되는 것을 확인할 수 있습니다.

 

---

여기서 bash 환경변수에 함수 형태로 저장했을 때 어떻게 실행되는지 실습을 통해 이해해보겠습니다.

#환경변수 설정
export test='() { :;}; pwd; echo vulnerable;'

#환경변수 출력
export

#bash 자식쉘 실행
bash

() { :;}; 뒤에 오는 명령어들이 bash 쉘을 실행했을때 환경변수가 초기화되면서 실행됩니다.

 

---

Shell shock 다시 이해하기

아파치 서버에서 CGI 스크립트 user.sh를 실행할 때, bash 쉘로 동작하면서 환경변수에 정보를 저장합니다.

그 환경변수에는 Host, User-Agent, Accpt, Accept-Language 등 헤더 정보 등이 있습니다.

bash 특정 버전 이하에는 shell shock라는 취약점이 있습니다.

bash 환경변수를 함수 형태로 저장할때 () { :;}; 뒤에 있는 명령어를 실행하는 취약점입니다.

 

그럼 환경변수에 저장되는 헤더 중 하나에 "() { :;}; 원하는 명령어" 를 입력하면 원하는 명령어 동작을 하게 할 수 있습니다. 즉 command injection 취약점이 발생할 수 있습니다.

 

맨 처음 bash CGI 스크립트(프로그램) = user.sh

bash는 명령어를 실행하기 전에 환경변수를 초기화합니다. 이때 User-Agent 헤더가 환경변수로 저장됩니다. 

그리고 주입한 명령어 = /bin/bash -i 리버스셸을 연결하는 명령이 실행됩니다.

 

 

이번에는 다른 헤더로 command injection을 해보겠습니다.

Cache-Control 헤더

env : 환경변수 출력

잘 동작하는 것을 확인할 수 있습니다. 

 

 

이렇게 이번 포스팅을 통해 맨 처음 궁금한 점들을 해결할 수 있었습니다!

이해가 안 가는 부분이 있다면 댓글로 적어주시면 감사하겠습니다 !!

 

 

 

---

 

궁금한 점 & 더 공부해야할 부분

1. 왜 whoami; 등 특정 명령의 실행 결과가 나오지 않는지

2. bash 리버스셸 연결하고 env 했을 때 왜 injection 했던 헤더는 없는지

3. bash 리버스셸 연결하고 env 했을때 함수형태로 입력하지 않은 헤더는 환경변수에 상속되어있지 않다.

4. 이것의 결과..

5. 아파치 환경변수 vs bash 환경변수

6. 부모쉘 - 자식쉘 환경변수 상속

 

 

 

 

 

잘못된 부분이 있을 수 있습니다 !! 부족한 점은 댓글로 피드백 바랍니다 :)

 

 

---

 

Reference :

 

아파치 CGI 참고) 

https://www.cgisecurity.com/lib/s-wssec.pdf

https://httpd.apache.org/docs/trunk/ko/howto/cgi.html

아파치 투토리얼: CGI를 사용한 동적 페이지 생성 - Apache HTTP Server Version 2.5

https://httpd.apache.org/docs/trunk/ko/env.html

아파치의 환경변수 - Apache HTTP Server Version 2.5

 

CGI의 작동 원리

 

 

리눅스 환경변수 실습 참고)

shellshock

 

리눅스 파일 속 문자열 찾기 참고)

리눅스 파일 찾기, 파일속 문자열 찾기