윈도우쉘을 처음에 웹해킹시도에 사용된 파일을 분석하다가 알게 되었습니다.
window 서버를 관리하면서 보안설정을 확인하고 웹방화벽의 로그를 조사하다보면
여러가지의 웹해킹 파일을 찾게 됩니다.
05 년만 하더라도 아무곳에나 파일을 업로드해서 인터넷 게스트 계정으도 실행시켜버리더니,
06 년에는 윈도우 쉘을 통해서 원하는 작업을 해버리는 방법으로 진화를 하였습니다.
올해에는 직접 윈도우 쉘을 통해서 컨트롤하는 방법과 실행파일을 이용하는 방법을 이용하였습니다.
실행파일을 이용하는 방법은 IISlockdown, Webknight 를 이용하면 막을수 있습니다.
문제는 윈도우쉘로 컨트롤하는 방법인데, 이 방법은 NTFS 접근권한을 제거하였음에도 불구하고
실행이 됩니다.
이렇게 함으로써 간단히 웹상에서 특정파일을 실행할수가 있습니다.
사실상 커맨드라인을 사용할수 있기때문에 원격지에서 서버를 관리하기에는 그만입니다.
하지만 양날의 검같이 단점도 있는데 윈도우쉘은 관리자권한을 획득하려는 사용자에게도 정말 꿀물같은
존재입니다. 웹상에서 커맨드라인을 사용할수 있다는것은 서버에 관리자권한으로 접속한거나 마찬가지이니까요.
(윈도우는 리눅스와는 달리 사용자에 대한 설정이 어렵습니다. 돌아가는 원리를 공개안하기때문이죠..)
가령 윈도우쉴을 이용하면 다음과 같이 입력을 얻어낼수있습니다.
V:\tmp>cscript cmd.vbs
Microsoft (R) Windows Script Host 버전 5.6
Copyright (C) Microsoft Corporation 1996-2001. All rights reserved.V 드라이브의 볼륨: HDD-LSH
볼륨 일련 번호: ACAA-B9A5V:\tmp 디렉터리
C 드라이브의 볼륨: HDD-C
볼륨 일련 번호: 70A9-A08Ac:\ 디렉터리
2007-06-04 오전 09:23 0 AUTOEXEC.BAT
2007-06-25 오전 11:04 9,406 BTWSTKInstall.Log
2007-06-04 오전 09:23 0 CONFIG.SYS
2007-06-09 오전 09:00 <DIR> Documents and Settings
2007-07-18 오전 11:32 <DIR> Inetpub
2007-08-17 오후 02:04 628 is.html
2007-07-20 오전 10:45 <DIR> Log
2007-08-23 오후 01:31 <DIR> MSSQLData
2007-09-05 오후 02:32 <DIR> Program Files
2007-08-17 오후 02:04 19,590 temp.txt
2007-08-31 오후 04:38 372 terminallog.txt
2007-09-03 오후 01:06 <DIR> tmp
2007-09-04 오전 10:52 <DIR> WINDOWS
6개 파일 29,996 바이트
7개 디렉터리 14,350,336,000 바이트 남음
V:\tmp>
다음은 웹상에서 실행한것이다.
'컴퓨터' 카테고리의 다른 글
| [Script Tip] 폴더 용량 한꺼번에 구하기 (2) | 2007.10.04 |
|---|---|
| [Virtual Server 2005 R2] 설치 절차 (0) | 2007.09.22 |
| Office XP 한글 입력기 2002 한영 전환 문제 (0) | 2007.08.23 |
| [word 2003] 문서저장시 음성인식데이터손실관련 알림창이 나올경우 (0) | 2007.08.17 |
| [오류] 보안 오류 때문에 클라이언트가 터미널 서버에 연결되지 못했습니다 (0) | 2007.07.21 |