표적 시스템에 성공적으로 침입한 경우, 열거는 모의 침투 테스트 영역에서 필수 불가결한 단계를 구성합니다. 다양한 자동화된 도구가 있지만, 숙련된 실무자가 직접 세부 사항에 세심한 주의를 기울여 시스템을 종합적으로 검사하여 권한 상승의 기회가 없는지 확인하는 것이 항상 권장됩니다.
권한 상승을 달성하기 위해 Linux 시스템을 수동으로 열거하는 다양한 방법에 대한 검토가 수행됩니다.
권한 에스컬레이션에 열거가 중요한 이유는 무엇인가요?
일반적으로 권한 상승(EOP)이라고 하는 권한 상승 행위는 모의 침투 테스트 프로세스 및 관련 방법론의 필수적인 부분을 구성합니다. 본질적으로 이 단계에는 자신의 권한을 관리자 또는 Linux 기반 시스템의 경우 루트 수준 사용자로 승격하려는 시도가 포함됩니다.
권한 수준을 높이려면 시스템 내에서 결함을 발견해야 합니다. 열거는 이러한 목표를 달성하는 데 필수적인 수단입니다. 열거 프로세스를 자동화하는 메커니즘이 존재하지만, 도구를 활용하여 탐지를 피할 수 있는 잘못된 구성 및 기타 잠재적 취약성을 탐지하기 위해서는 수동으로 포괄적인 열거를 수행하는 것이 유리할 때가 많습니다.
시스템 열거
예비 발판을 마련한 후에는 접근 권한을 부여한 시스템에 대해 숙지하는 것이 중요합니다. 이를 통해 기본 인프라에 따라 페이로드의 기능을 효과적으로 최적화하고 페이로드와 대상 시스템 간의 최고 수준의 호환성을 보장할 수 있습니다.
이러한 점을 고려할 때, 비트 길이가 64인 익스플로잇을 활용할 때는 의도한 표적 시스템이 64비트 소프트웨어를 지원할 수 있는지 여부를 고려해야 한다는 점에 주목할 필요가 있습니다. 표적 시스템에 이러한 기능이 부족한 경우, 익스플로잇이 시스템 아키텍처의 제약 조건 내에서 효과적으로 작동하기 위해 그에 따라 익스플로잇을 수정해야 할 수 있습니다. 이는 32비트 시스템과 64비트 시스템 간에 실제로 차이가 존재하며, 특정 유형의 익스플로잇을 선택하고 활용할 때 이러한 차이점을 고려해야 한다는 점을 상기시켜 줍니다.
커널 버전에 대한 지식을 얻는 것은 운영 체제 내에서 잠재적인 보안 취약점을 식별하는 데 유용한 도구로 사용될 수 있습니다. 커널 버전이 업데이트되어 더 이상 지원되지 않는 경우, 공격자는 이 정보를 활용하여 성공적인 익스플로잇을 실행할 수 있습니다.시스템 관련 데이터를 얻기 위해 다음과 같은 여러 명령 옵션이 있습니다:
운영 체제 및 관련 구성 요소에 대한 세부 정보를 얻으려면 다음 명령을 실행할 수 있습니다:
cat /etc/cpuinfo
uname -a
CPU 아키텍처에 관한 자세한 정보를 얻으려면 “lscpu” 명령을 활용하세요.
lscpu
프로세스 열거
이 가이드에 설명된 다양한 프로세스 식별 방법을 활용하고 Linux 시스템에서 실행 중인 프로세스를 이해하면 잠재적으로 손상된 프로세스를 인식하고 이를 사용하여 더 높은 권한을 얻을 수 있습니다.
특정 상황에서 상승된 권한으로 작동하는 프로세스를 식별하면 해당 프로세스에 악성 코드가 유입되어 궁극적으로 상승된 액세스 권한을 악용할 수 있는 기회가 제공될 수 있습니다.
“ps” 명령과 “aux” 플래그를 함께 사용하면 운영 체제 내에 현재 존재하는 모든 프로세스를 열거할 수 있습니다.
ps aux
사용자 및 그룹 열거
사용자 및 그룹의 식별은 시스템 내에서 각각의 액세스 수준을 결정하고 특정 개인 또는 그룹을 효율적으로 타깃팅하고 성공적인 공격 계획을 수립하는 데 매우 중요합니다. 또한 포괄적인 사용자 프로필을 생성하고 각 계정과 관련된 권한과 책임에 대한 철저한 이해를 가능하게 합니다.
권한 있는 계정에 대한 보기를 얻으면 이전에 식별된 사용자 이름-비밀번호 쌍을 시도할 수 있습니다. etc/passwd 및 /etc/group에 있는 파일의 내용을 인쇄하여 권한이 부여된 사용자 목록에 액세스할 수 있습니다. 또한 getent 명령을 사용하는 것도 또 다른 옵션입니다.
터미널에서 “cat /etc/passwd” 명령을 실행하여 Linux 사용자 명단을 얻을 수 있습니다.
getent passwd
그룹 명단을 얻으려면 다음 단계를 따르세요:
getent group
민감한 파일 조사 중
앞서 언급한 민감한 파일에는 /etc/passwd 및 /etc/shadow를 포함하되 이에 국한되지 않는 기밀 데이터가 많이 포함되어 있을 수 있습니다. 특히 전자의 파일에는 해시캣이나 존 더 리퍼와 같은 특수 도구를 사용하여 해독할 수 있는 암호화된 비밀번호가 저장되어 있기 때문에 권한이 없는 사람이 불법적인 목적으로 이 파일을 활용할 수 있습니다.
/etc/sudoers 파일은 “sudo” 명령을 사용하여 관리 작업을 실행할 때 사용자 계정의 권한을 관리하는 중요한 구성 요소입니다.권한이 있는 개인이 이 파일을 수정할 수 있는 경우 특정 사용자 또는 그룹과 관련된 권한을 조정하여 시스템 내에서 더 높은 수준의 액세스 권한을 부여할 수 있습니다.
sudo 권한 확인
sudo 권한의 효과적인 관리는 Linux 시스템의 보안을 보장하는 데 매우 중요합니다. sudo 권한을 검사하면 권한 상승의 가능한 경로를 파악할 수 있습니다. 특정 애플리케이션에 과도한 권한이 부여되는 등 부적절한 구성이 있는 경우, 이를 활용하여 루트 액세스 권한을 획득할 수 있습니다.
리눅스 시스템 내의 수도 권한을 이해하면 나타날 수 있는 다양한 공격 수단에 대한 그림이 아래에 나와 있습니다. 이러한 사례 중 하나는 LD\_PRELOAD 라이브러리 사전 로드 메커니즘을 악용하는 것인데, 이는 thesudo 권한을 조사하여 발견할 수 있습니다.
sudo -l
Linux 커널 익스플로잇 찾기
Linux 커널 취약점은 손상된 운영 체제의 기본 구성 요소를 대상으로 하기 때문에 치명적인 결과를 초래할 수 있습니다. 커널에 심각한 결함이 있는 경우 영향을 받는 시스템에 대한 광범위한 제어 권한을 행사할 수 있습니다.
컴퓨터 운영 체제 커널 내의 잠재적 취약점을 발견하려면 사용 중인 커널의 특정 버전과 해당 버전을 표적으로 삼을 수 있는 사용 가능한 익스플로잇을 모두 파악해야 합니다. 이 프로세스는 SearchSploit과 같은 전문 툴을 활용하거나 Google Dorks를 활용하여 관련 익스플로잇을 찾는 등 다양한 방법을 통해 수행할 수 있습니다.
SUID 바이너리 익스플로잇
SUID(Set Owner User ID)는 프로그램 실행 시 소유자의 권한을 부여하는 특정 파일 권한을 의미합니다. 이 지정은 런타임 중에 파일 소유자에게 부여되며 소유자를 대신하여 작업을 실행할 수 있는 고급 권한을 부여합니다.
프로그램 생성 시 SUID(Set User ID) 비트를 사용하면 실행 주체에 상승된 권한을 부여할 수 있으며, 이러한 상황이 발생하면 프로그램이 루트 사용자의 권한을 행사할 수 있습니다. 악의적인 공격자가 이 설정을 악용하여 익명성을 이용해 악의적인 활동을 실행하고 추적 가능한 증거를 남기지 않을 수 있으므로 이 기능이 잘못 적용될 가능성은 명백합니다.
비슷한 의미를 전달하지만 좀 더 정제된 언어로 표현할 수 있는 대체 표현을 제안하고 싶습니다.제 제안은 이렇습니다: “SUID(Set User ID) 속성을 가진 모든 실행 파일을 검색하고, 컬렉션을 탐색하여 쓰기 권한이 허용되는 파일 중 하나를 식별한 다음 원하는 페이로드를 포함하도록 소스 코드를 수정합니다. 이 작업을 수행하려면 ‘find’ 명령을 사용하여 SUID 바이너리 목록을 생성하고 표준 출력을 ‘/dev/null’로 지정합니다. 이 방법을 사용하면 작업 중에 불필요한 정보가 표시되지 않습니다.
find / -perm -4000 2>/dev/null
라이브러리 하이재킹
시스템에서 작동하는 프로그램이 쓰기 방지 기능이 없는 라이브러리를 사용하는 경우가 있을 수 있습니다. 이러한 상황에서는 해당 라이브러리를 재정의하고 프로그램 기능에 영향력을 행사할 수 있습니다.
프로그램이 관리 권한으로 실행되는 경우, 프로그램이 의존하는 리포지토리를 탈취하여 시스템에 대한 루트 수준의 액세스 권한을 획득하는 것이 가능할 수 있습니다.
환경 변수 조사 및 하이재킹
환경 변수는 운영 체제와 애플리케이션의 동작에 영향을 미치는 고유한 범주의 변수로 구성됩니다. 이러한 필수 변수 중 PATH 변수는 시스템이 실행 파일을 검색하는 방식을 결정하기 때문에 중요한 위치를 차지합니다.
PATH 변수는 운영 체제 내의 모든 실행 가능한 바이너리 파일을 저장하는 저장소 역할을 합니다. 라이브러리 하이재킹과 같은 추가 익스플로잇과 함께 이 변수를 조작하면 루트 수준의 액세스 권한을 획득할 수 있습니다.
사용자 ID 설정(SUID) 권한이 부여된 실행 파일을 예로 들면, 이 실행 파일은 전체 경로를 지정하지 않고 다른 바이너리 파일에 대한 액세스를 필요로 합니다.
바이너리의 악성 복제본을 만들고 악의적인 바이너리의 위치를 포함하도록 PATH 환경 변수를 수정하여 이 취약점을 악용할 수 있습니다. SETUGID 실행 파일이 실행되면, 악성 바이너리가 상승된 권한으로 실행되어 루트 셸을 실행할 수 있게 됩니다.
또한, 환경 변수를 검토하는 것만으로도 기밀 키-암호 쌍을 발견할 가능성이 높습니다. env 명령을 사용하여 현재 사용 중인 모든 환경 변수를 표시할 수 있습니다.
env
Bash 기록에서 아티팩트 찾기
특정 개인과 관련된 기록 데이터가 지속되는 경우가 드물지 않으며, 이로 인해 권한이 없는 사람이 기밀 정보를 얻거나 변경된 입력 기준으로 이전 명령을 실행할 수 있는 기회가 제공될 수 있습니다.
권한 상승으로 이어지지는 않지만, 이 정보를 얻으면 사용자가 시스템에서 수행하는 일반적인 활동에 대한 귀중한 통찰력을 얻을 수 있습니다.
취약한 크론 작업 하이재킹
크론 유틸리티는 지정된 간격으로 작업을 자동화하는 수단을 제공하는 Linux의 기본 구성 요소로 매우 유용합니다. 이 기능은 Microsoft Windows 운영 체제에서 작업 스케줄러를 통해 사용할 수 있는 스케줄링 기능과 유사합니다.
크론 데몬은 사용자가 지정한 일정에 따라 작동하여 사용자가 지정한 명령을 미리 정해진 간격으로 실행합니다. 그러나 특정 크론 작업은 와일드카드 인젝션을 사용하여 공격에 취약하거나 로그인 시 인증된 사용자가 수정할 수 있는 가능성이 있습니다.
잠재적인 악의적 익스플로잇 방법에는 시스템에 대한 루트 수준 액세스를 얻기 위해 크론 데몬의 취약점을 식별하고 활용하는 것이 포함됩니다. 이를 위해서는 현재 실행 중인 크론 작업과 관련 정보를 표시하는 명령 실행을 통해 취약한 크론 작업을 찾아야 합니다.
ls /etc/cron.d/
crontab -l -u <username>
오래된 패키지 나열
시스템에 접근하면 설치된 모든 소프트웨어 프로그램을 목록화하고 최신 업데이트와 관련하여 현재 버전 상태를 확인하여 프로세스를 시작하는 것이 현명합니다.
널리 사용되지는 않지만 권한 상승 공격의 상당한 위험을 내포하고 있어 공격자가 루트 액세스 권한을 얻기 위해 잠재적으로 활용할 수 있는 특정 소프트웨어 패키지가 존재할 수 있다고 생각할 수 있습니다.
dpkg 명령은 -l 플래그와 함께 사용하여 현재 데비안 또는 우분투 운영 체제를 실행하는 장치에 설치된 소프트웨어 패키지의 포괄적인 인벤토리를 생성할 수 있습니다.
dpkg -l
현재 소프트웨어 패키지의 포괄적인 인벤토리를 얻기 위해
rpm -qa
이제 권한 상승을 위해 Linux를 수동으로 열거하는 방법을 알았습니다
권한 상승 행위는 열거를 통한 정보 획득에 따라 결정됩니다. 접근 가능한 정보의 범위가 넓을수록 공격자는 공격을 수행하기 위한 전술을 더 효과적으로 고안할 수 있습니다.
효과적인 탐색 방법에는 잠재적인 진입 지점을 식별하고 이를 철저히 탐색하여 익스플로잇에 대한 취약성을 확인하는 것이 포함됩니다. 수동 검사는 이 과정에서 도움이 될 수 있지만, 과도한 시간과 에너지가 소모될 수 있습니다.프로세스를 신속하게 진행하기 위해 특정 네트워크 또는 시스템 내에서 보안 취약점을 탐지하도록 특별히 설계된 특수 소프트웨어 프로그램을 사용할 수 있습니다. 이러한 도구를 통해 사용자는 잠재적인 취약점을 식별하고 이러한 취약점으로 인한 위협을 완화하기 위한 적절한 조치를 취할 수 있습니다. 따라서 이러한 도구에 익숙해지는 것은 윤리적 해킹의 영역에서 성공을 거두는 데 필수적입니다.