• 목록
  • 아래로
  • 위로
  • 11
  • title: 황금 서버 (30일)humit
  • 조회 수 201

현재 업데이트가 더이상 되고 있지 않는 제로보드의 위험성에 대해서 찍은 영상입니다. 제가 만든 사이트에서 해킹 시연을 하였습니다.

자막으로 해당하는 설명을 간략하게 달아놓았습니다.

 

 

서버 세팅
00:08 제로보드4 설치
01:00 제로보드 그룹 추가
01:20 게시판 생성
02:30 게시글 작성

 

해킹 시연
04:26 해킹 시연 시작
05:03 취약점 체크
05:12 전체 게시판 id 가져오기
05:55 관리자 계정 정보 가져오기
07:55 관리자 권한 획득하기
08:23 웹쉘 업로드
08:29 DB 정보 가져오기
09:28 웹쉘 커맨드 실행

 

참고로 제로보드 뿐만이 아니라 XE나 그누보드와 같은 경우에도 최신 버전으로 업데이트를 하지 않으면 이런 식으로 해킹을 당할 수 있습니다. 보통 패치가 된 코드가 올라오기 때문에 고쳐진 부분에서 취약점이 있는 것을 알고 그 부분으로 공격을 할 수 있기 때문입니다.

소스코드가 전부 공개가 되어 있기 때문에 패치가 되지 않은 새로운 취약점을 좀 더 쉽게 발견할 수도 있습니다. 비유하자면 도둑이 특정한 금고를 털려고 할 때 해당 건물의 보안 시스템에 대한 정보를 가지고 있는 것과 가지고 있지 않는 것의 차이라고 보시면 될 것 같습니다.

 

특히 웹쉘이 업로드가 된 이후에는 그 사이트는 완전히 해커의 것이 되었다고 생각하셔도 됩니다. (새 서버에서는 모르겠지만 여기의 구서버의 경우에는 Suhosin 모듈이 있어서 웹쉘이 실행되지는 않습니다.)

작성자
title: 황금 서버 (30일)humit 119 Lv. (0%) 1183970/115200000EXP

Study For Us Hosting 1기 모니터링 관리자 (16.12.01 ~ 17.01.08.)

C++, Python, PHP를 주로 사용하며 알고리즘, DL, 해킹 쪽에 관심이 있습니다.

휴학생입니다.

티스토리 블로그 : http://humit.tistory.com/

카카오톡 봇 : http://pf.kakao.com/_Efrbu/chat

지식인 프로필 : https://kin.naver.com/profile/jhjang1005

댓글 11

마스터
profile image
수호신이 계륵 같은 존재입니다.
안정성은 확 높여주지만 속도도 확 떨어뜨려주거든요.
comment menu
2016.12.31. 18:18

신고

"마스터님의 댓글"

이 댓글을 신고 하시겠습니까?

title: 황금 서버 (30일)humit 작성자 → 마스터
profile image
그래도 안전하게 코딩을 할 자신이 없다면 켜 놓는 것이 좋을 것 같아요... 서버가 한 번 뚫리면 그 서버를 이용해서 해킹을 하는 경우도 있으니까요....
comment menu
2016.12.31. 23:01

신고

"humit님의 댓글"

이 댓글을 신고 하시겠습니까?

마스터 → humit
profile image
그나저나 동영상은 탈탈 털리네요.
comment menu
2016.12.31. 23:33

신고

"마스터님의 댓글"

이 댓글을 신고 하시겠습니까?

title: 황금 서버 (30일)humit 작성자 → 마스터
profile image
물론 직접 취약한 부분의 소스코드를 고친다면 괜찮겠지만 그냥 사이트에 올라와 있는 파일을 쓰면 저렇게 많이 털릴 수 있습니다 ㅎㅎ... 이 밖에도 다른 취약점도 많습니다.... XSS라던가...
comment menu
2016.12.31. 23:50

신고

"humit님의 댓글"

이 댓글을 신고 하시겠습니까?

Kogag
profile image
과거 뽐뿌같은 대형사이트가 제로보드 구형을 쓰는걸보고 걱정했는데 역시나 털리더라구요 ㅋㅋ 워드프레스쪽은 보안은 어떤가요?
comment menu
2016.12.31. 22:07

신고

"Kogag님의 댓글"

이 댓글을 신고 하시겠습니까?

마스터 → Kogag
profile image
워드프레스는 항상 업데이트를 제공하기 때문에 쉽게 뚫리지는 않죠.
comment menu
2016.12.31. 22:35

신고

"마스터님의 댓글"

이 댓글을 신고 하시겠습니까?

Kogag → 마스터
profile image
워드프레스는 자동업데이트인가요? 아니면 xe처럼 좀 번거로운 과정을 거쳐서 업데이트인가요?
comment menu
2016.12.31. 23:29

신고

"Kogag님의 댓글"

이 댓글을 신고 하시겠습니까?

마스터 → Kogag
profile image
워드프레스는 자동 업데이트입니다.
comment menu
2016.12.31. 23:42

신고

"마스터님의 댓글"

이 댓글을 신고 하시겠습니까?

Kogag → 마스터
profile image
와 기왕 배우는김에 워드프레스를 배우는게 났겠는데요;;
comment menu
2017.01.01. 00:09

신고

"Kogag님의 댓글"

이 댓글을 신고 하시겠습니까?

title: 황금 서버 (30일)humit 작성자 → Kogag
profile image
업데이트만 꾸준히 해주신다면 보안 문제는 생각하지 않으셔도 괜찮습니다.
comment menu
2016.12.31. 23:01

신고

"humit님의 댓글"

이 댓글을 신고 하시겠습니까?

Kogag → humit
profile image
감사합니다 좋은정보를 얻고가네요
comment menu
2016.12.31. 23:29

신고

"Kogag님의 댓글"

이 댓글을 신고 하시겠습니까?

권한이 없습니다.
번호 제목 글쓴이 날짜 조회 수
공지 시스템 점검 작업 완료 안내 10 마스터 마스터 24.09.05.16:25 2171
공지 [중요] 호스팅 만료와 관련하여 일부 수칙이 변경됩니다. 4 마스터 마스터 23.01.14.02:23 9020
공지 낚시성 불법도박 홍보 게시글을 주의하세요. 9 image 네모 네모 22.08.09.18:13 2822
공지 슬기로운 포인트 벌이를 하는 법 (22.10.11 업데이트) 64 네모 네모 18.06.17.20:25 17539
594 구서버 속도가 빨라졌네요? 4 RonnieJ 17.01.05.14:33 249
593 결국 질렀네요 하.... 5 대전댁 title: 은메달대전댁 17.01.05.13:50 168
592 워드프레스도 커뮤니티가 되나요? 5 임지훈 17.01.05.13:10 192
591 정말로 freenom 가지가지 하네요. 13 file 대전댁 title: 은메달대전댁 17.01.05.11:24 752
590 Study For US가 바뀌어야 할것 같아보이네요. 2 대전댁 title: 은메달대전댁 17.01.05.00:50 265
589 하루에 10시간...씩... 고단하네요ㅠㅠ 6 임지훈 17.01.05.00:21 291
588 와.. 회원가입 포인트를 없애던가 해야겠습니다. 11 마스터 마스터 17.01.04.22:24 183
587 10에 잠들었다 애매한 시간에 깼네요. 9 마스터 마스터 17.01.04.04:48 223
586 아 ㅠ.ㅠ file 대전댁 title: 은메달대전댁 17.01.03.23:10 164
585 내일은 택배가 4 대전댁 title: 은메달대전댁 17.01.03.19:18 170
584 2017 year 1 임지훈 17.01.02.12:41 176
583 [긴급] 아놔 ㅡ,.ㅡ 5 file 대전댁 title: 은메달대전댁 17.01.02.11:03 231
582 어느덧 10만원으로 ~ 5 image 대전댁 title: 은메달대전댁 17.01.01.23:44 159
581 2017년이 밝아왔습니다. 4 물여우 물여우 17.01.01.11:58 227
580 그냥감상하시길 ... ㅎ 6 대전댁 title: 은메달대전댁 17.01.01.02:53 161
579 새해복많이받으세요 ~ ^^ 2 대전댁 title: 은메달대전댁 17.01.01.01:06 175
578 새복 많이 받으세요~ 2 핫슈 17.01.01.00:19 247
577 애드고시가 맞나요? 2 Kogag Kogag 16.12.31.23:35 178
576 새서버 정식 신청이 될대 도라오겟습니다. 3 핫슈 16.12.31.20:35 155
575 2016년이 5시간 15분정도 남았네요. 10 대전댁 title: 은메달대전댁 16.12.31.18:18 126