[POC] IIS 6.0 원격코드실행 취약점-WebDAV Buffer Overflow(CVE-2017-7269)

IIS 6.0 원격코드실행 취약점-WebDAV Buffer Overflow(CVE-2017-7269) POC TEST

공격영향

-Windows Server 2003 R2 시스템에서 IIS6.0의 WebDAV 서비스가 활성화 된 웹서버에서 발생

-WebDAV 서비스의 ScStoragePathFromUrl 함수에서 버퍼 오버플로우 취약점을 일으켜 공격자가 PROPFIND 메소드로 IF 헤더문 "IF: <http://"로 시작하는 긴 헤더를 통해 원격에서 임의 코드 실행 가능

취약 시스템

Windows Server 2003 R2 시스템에서 IIS6.0의 WebDAV 서비스가 활성화 된 서버

해결방안

서버 내 WebDAV 서비스 비활성화

WebDAV 서비스를 비활성화 불가 시, 운영체제 및 IIS 버전 업그레이드
    ※ Windows Server 2003 R2 버전은 더 이상 보안 업데이트를 지원하지 않음

POC 테스트

1. 서버 환경구성

-Windows Server 2003 R2 standard 버전 -> vmware에 설치했음

-Test Server IP : 172.17.32.203 

Typical 선택(자동 좋음..)

iso 파일 2개 중 우선 첫번째파일 선택

제품키 입력 

초기 계정 : administrator / 비번 x

cd1이 설치가 다 되고나면 cd2 넣으란 얘기가 나오는데

vmware니까 settings-[CD/DVD] (IDE) 에서 

-Use ISO image file을 cd1파일에서 cd2파일로 변경 

-Device status에서 Connected 체크 후 맨아래 'OK' 

다시 설치화면으로 돌아오고 cd2가 있는 위치를 선택하라는 창에서 CD드라이브를 선택해주면 됨

※자세한 설치 과정 참조 -> [Windows Server 2003 R2 설치 : http://tshooter.tistory.com/71]

-IIS 6.0 설치

Configure Your Server Wizard(서버 구성 마법사) 실행

IIS 설치 완료

-IIS 6.0 설정

Internet Information Services (IIS) Manager(인터넷 정보 서비스 관리자) 실행

Web Service Extensions(웹 서비스 확장) -> WebDAV 서비스 Allow(활성화)

WebDAV는 Web-based Distributed Authoring and Versioning (웹기반 분산형 저작 및 버전관리)의 약자

웹을 통하여 웹서버에 파일을 관리(목록 조회, 수정, 삭제, 이동 등)할 수 있는 확장된 HTTP 프로토콜

Test Server 접속(172.17.32.203)

2. Client 

-POC 코드

  -코드 수정

line 6, sock.connect(('test 서버 IP', 80))

line 7, PROPFIND

WebDAB에서 확장된 메소드(Method)

-PROPFIND : 리소스를 위한 속성을 검색. 즉, 웹의 파일 목록과 속성을 검색하기 위한 메소드

line 13, calc.exe를 백그라운드로 실행하는 쉘코드가 삽입됨

※ 공개된 POC 코드 : https://www.exploit-db.com/exploits/41738/ 

  -코드 실행

3. 실행 결과(Server측 변화)

  -쉘코드 실행 확인(계산기)

실제 서버 화면에서는 계산기(calc.exe)가 보이지 않지만 '프로세스'에서 동작 확인

 

  -패킷 확인

※ 참조했던 글들

http://bobao.360.cn/learning/detail/3664.html    (중국)

https://junglecouple.com/security/poc/884        (한국블로그)

※ WebDAV 참조

http://coffeenix.net/board_print.php?bd_code=134

http://webdav.org/specs/rfc2518.html#n-example---tagged-list-if-header