- 11
-
humit - 조회 수 176
현재 업데이트가 더이상 되고 있지 않는 제로보드의 위험성에 대해서 찍은 영상입니다. 제가 만든 사이트에서 해킹 시연을 하였습니다.
자막으로 해당하는 설명을 간략하게 달아놓았습니다.
서버 세팅
00:08 제로보드4 설치
01:00 제로보드 그룹 추가
01:20 게시판 생성
02:30 게시글 작성
해킹 시연
04:26 해킹 시연 시작
05:03 취약점 체크
05:12 전체 게시판 id 가져오기
05:55 관리자 계정 정보 가져오기
07:55 관리자 권한 획득하기
08:23 웹쉘 업로드
08:29 DB 정보 가져오기
09:28 웹쉘 커맨드 실행
참고로 제로보드 뿐만이 아니라 XE나 그누보드와 같은 경우에도 최신 버전으로 업데이트를 하지 않으면 이런 식으로 해킹을 당할 수 있습니다. 보통 패치가 된 코드가 올라오기 때문에 고쳐진 부분에서 취약점이 있는 것을 알고 그 부분으로 공격을 할 수 있기 때문입니다.
소스코드가 전부 공개가 되어 있기 때문에 패치가 되지 않은 새로운 취약점을 좀 더 쉽게 발견할 수도 있습니다. 비유하자면 도둑이 특정한 금고를 털려고 할 때 해당 건물의 보안 시스템에 대한 정보를 가지고 있는 것과 가지고 있지 않는 것의 차이라고 보시면 될 것 같습니다.
특히 웹쉘이 업로드가 된 이후에는 그 사이트는 완전히 해커의 것이 되었다고 생각하셔도 됩니다. (새 서버에서는 모르겠지만 여기의 구서버의 경우에는 Suhosin 모듈이 있어서 웹쉘이 실행되지는 않습니다.)
작성자
댓글 11
신고
"마스터님의 댓글"
이 댓글을 신고 하시겠습니까?
humit 작성자
→ 마스터
신고
"humit님의 댓글"
이 댓글을 신고 하시겠습니까?
신고
"마스터님의 댓글"
이 댓글을 신고 하시겠습니까?
humit 작성자
→ 마스터
신고
"humit님의 댓글"
이 댓글을 신고 하시겠습니까?
신고
"Kogag님의 댓글"
이 댓글을 신고 하시겠습니까?
신고
"마스터님의 댓글"
이 댓글을 신고 하시겠습니까?
신고
"Kogag님의 댓글"
이 댓글을 신고 하시겠습니까?
신고
"마스터님의 댓글"
이 댓글을 신고 하시겠습니까?
신고
"Kogag님의 댓글"
이 댓글을 신고 하시겠습니까?
humit 작성자
→ Kogag
신고
"humit님의 댓글"
이 댓글을 신고 하시겠습니까?
신고
"Kogag님의 댓글"
이 댓글을 신고 하시겠습니까?
도다
안정성은 확 높여주지만 속도도 확 떨어뜨려주거든요.