🔒Security

Paypal에서 발견된 HTTP Request Smuggling - 실습 환경 구축

Universe7202 2020. 3. 22. 10:49

 

요즘 http request smuggling 공격에 대해 몇일간 공부 중이다. 몇달 전에 이 공격을 처음 접하게 되면서 이 공격에 대해 매우 흥미를 느꼈다. http request smuggling 공격에 대해 portswigger 라는 홈페이지에서 자료를 통해 공부를 했고 실습 환경을 만들어 공부 해보면 어떻까 라는 생각을 해서 이렇게 글로 정리를 해본다.

 

이 실습 환경 만든다고 개고생 했다.. 삽질한 것을 바탕으로 아래 글에 나와 있는데로 진행할 경우 성공할 것이라고 생각한다.

 

필자가 참고한 사이트는 아래 Reference에 있으니 참고 하길 바란다.

 

 

 


# 1. Setting Practice Environment

https://paper.seebug.org/1049

HTTP request smuggling 공격 환경을 만들기 위해서는 사용자와 메인 서버 사이에 proxy 서버가 필요하다.

필자는 Apache Traffic Server(ATS) 7.1.2 버전을 사용했다.

ATS 7.1.2 보다 상위 버전은 이 공격에 대해 petch가 되어 있기 때문에 7.1.2 버전을 사용해야 한다.

또한 ubuntu 18.04 이상 버전에서 ATS 7.1.2 에 버그가 있어서 ubuntu 16.04 버전을 사용해야 한다.

== Proxy Server ==
ubuntu 16.04 (버전 중요!)
Apache Traffic Server 7.1.2 (버전 중요!)

 

LNMP 서버와 LAMP 서버를 세팅해야 하는데, docker를 이용해서 이 두 서버를 생성할 계획이다.

아래는 LNMP와 LAMP 서버를 구축하기 위한 정보이다.

== LNMP ==

docker-compose.yml

web:
 image: fbraz3/lnmp
 ports:
 - "10000"
== LAMP ==

docker pull mattrayner/lamp:latest-1804
docker run -d -p 10001 [image hash]

 

 

# 1-1. ATS Install & Configuration

 

여기서 부터 모든 명령어를 root 또는 sudo 로 진행하는 것을 강력히 추천한다.

 

본인 서버에 ATS를 설치하기 위해, 아래와 같은 명령어로 필요한 것들을 설치 해야한다.

apt-get install -y autoconf automake libtool pkg-config libmodule-install-perl gcc libssl-dev libpcre3-dev libcap-dev libhwloc-dev libncurses5-dev libcurl4-openssl-dev flex tcl-dev net-tools vim curl wget

 

ATS source 파일을 다운 받기 위해 아래와 같은 명령어를 입력하여 ATS 7.1.2 파일을 다운 후 압축을 푼다.

$ wget https://github.com/apache/trafficserver/archive/7.1.2.tar.gz
$ gzip -d [ATS 7.1.2 file name]
$ tar -xvf [ATS 7.1.2 file name]

 

압축을 푼 폴더로 이동해서 아래와 같은 명령어를 입력한다. (모든 명령어는 root 또는 sudo 로 진행하는 것을 추천한다.) make 명령어에서 30분에서 1시간 정도 걸릴 것이다.

$ cd trafficserver-7.1.2
$ autoreconf -if
$ ./configure --prefix=/opt/ts-712
$ make
$ make install

 

여기까지가 ATS 설치이고 이후는 설정이다.

records.config 파일을 열어 몇몇 옵션을 변경해야 한다. (추가하는 것이 아니라 변경이다.)

$ vi /opt/ts-712/etc/trafficserver/records.config

CONFIG proxy.config.http.cache.http INT 0 # close caching
CONFIG proxy.config.reverse_proxy.enabled INT 1 # Enable reverse proxy
CONFIG proxy.config.url_remap.remap_required INT 1 # Limit ATS to only access the mapped address in the map table
CONFIG proxy.config.http.server_ports STRING 80 80:ipv6 # Listen local port 80

 

위 파일을 수정했다면, remap.config 파일을 수정해야한다.

이 파일은 어느 서버로 포워딩 할 것인지 proxy 설정 파일이라고 생각하면 된다.

$ vi /opt/ts-712/etc/trafficserver/remap.config

map http://your-domain1.com/ http://[docker-lnmp-ip]:10000/
map http://your-domain2.com/ http://[docker-lamp-ip]:10001/

아직 docker로 lamp와 lnmp 를 설치 하지 않아서 localhost 라고 적어놓자.

그렇기 때문에 원래 ATS 를 재시작해야 하는데, 일단 이 상태로 둔다.

 

 

# 1-2. Docker LNMP Install & Configuration

(Docker를 찬양하라~)

 

혹시 본인 서버에 docker와 docker-compose가 설치 되어 있지 않다면 설치를 먼저 하자.

 

docker-compose.yml 파일을 생성하여 아래 내용을 복붙하자.

(port를 변경하고 싶다면 원하는 것으로 바꿔도 상관없다. 단, ATS remap.conf 파일에 적었던 port 도 바꿔줘야 할것이다.)

web:
 image: fbraz3/lnmp
 ports:
 - "10000"

 

아래 명령어로 docker container 를 생성한다.

$ docker-compose up -d

 

container가 생성이 되면 안으로 들어가 설정을 바꾼다.

$ docker exec -it [container ID] /bin/bash

root@[container ID]: vi /etc/nginx/site-enabled/default

listen 80을 listen 10000 으로 변경
root /app/~ 되어 있는 것을 root /var/www/html 로 변경
root@[container ID]: service nginx restart
root@[container ID]: cd /var/www/html
root@[container ID]: echo "<?php echo 'test'; ?>" > index.php
root@[container ID]: ls
index.php

 

docker LNMP 의 내부 IP를 알아야 하므로 아래 명령어로 IP를 알아낸다.

필자의 LNMP 내부 IP는 172.17.0.2 이다.

root@[container ID]: apt-get update && apt-get install net-tools
root@[container ID]: ifconfig
eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 172.17.0.2  netmask 255.255.0.0  broadcast 172.17.255.255
        ether 02:42:ac:11:00:02  txqueuelen 0  (Ethernet)
        RX packets 2884  bytes 21085517 (21.0 MB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 2624  bytes 243512 (243.5 KB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

 

container를 빠져나와 아래와 같은 명령어로 접속이 잘 되는지 확인한다.

$ wget 172.17.0.2:10000

--2020-03-22 04:23:40--  http://172.17.0.2:10000/
Connecting to 172.17.0.2:10000... connected.
HTTP request sent, awaiting response... 200 OK
Length: unspecified [text/html]
Saving to: 'index.html'
index.html                            [ <=>                                                          ]     332  --.-KB/s    in 0s      
2020-03-22 04:23:42 (8.65 MB/s) - 'index.html' saved [332]


$ cat index.html
test
$

 

위에서 ATS remap.conf 파일을 수정했었는데, 다시 열어서 LNMP 서버의 IP 주소를 적는다.

$ vi /opt/ts-712/etc/trafficserver/remap.config

map http://your-domain1.com/ http://172.17.0.2:10000/		# <---- 변경 부분
map http://your-domain2.com/ http://[docker-lamp-ip]:10001/

 

 

 

# 1-3. Docker LAMP Install & Configuration

 

아래 명령어를 입력하여 LAMP 이미지를 다운 받는다.

$ docker pull mattrayner/lamp:latest-1804
$ docker run -d -p 10001 [image hash]

LAMP 설치는 끝이다.(와우!)

아래는 설정 부분이다.

 

$ docker exec -it [container ID] /bin/bash

root@[container ID]: vi /etc/apache2/port.config

Listen 80 을 Listen 10001 으로 바꾸기
root@[container ID]: vi /etc/apache2/site-enabled/000-default

<VirtualHost: *:80> 을 10001 으로 바꾸기 (숫자만 바꿈)
root@[container ID]: service apache2 restart
root@[container ID]: cd /var/www/html
root@[container ID]: rm index.php
root@[container ID]: echo "<?php echo 'test'; ?>" > index.php
root@[container ID]: ls
inde.php

 

이번에도 역시 wget 명령어로 잘 되는지 확인한다.

root@[container ID]: wget localhost:10001

 

LAMP 내부 IP를 알아야 하기 때문에 아래와 같은 명령어를 입력한다.

필자는 172.17.0.3 이다.

root@[container ID]: apt-get update && apt-get install net-tools
root@[container ID]: ifconfig
eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 172.17.0.3  netmask 255.255.0.0  broadcast 172.17.255.255
        ether 02:42:ac:11:00:02  txqueuelen 0  (Ethernet)
        RX packets 2884  bytes 21085517 (21.0 MB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 2624  bytes 243512 (243.5 KB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

 

container에서 나와서 remap,conf 파일을 수정한다.

$ vi /opt/ts-712/etc/trafficserver/remap.config

map http://your-domain1.com/ http://172.17.0.2:10000/		
map http://your-domain2.com/ http://172.17.0.3:10001/  # <---- 변경 부분

 

 

 

# 2. Run ATS

 

모든 환경이 다 만들어 졌다.

우리는 ATS 7.1.2 프록시 서버와 내부 LNMP, LAMP 서버도 구축을 완료했다.

https://paper.seebug.org/1049

내부에서는 LNMP와 LAMP 웹 서버가 잘 동작한다. 하지만 ATS 서버는 설정만 했지 서비스로는 동작을 하지 않고 있기 때문에 이를 동작하게 해줘야 한다.

 

ATS를 다운받아 압축을 푼 경로로 이동한다.

cmd 폴더 안에는 여러개의 명령어 폴더가 존재한다. 여기서 우리가 사용할 것은 traffic_ctl과 traffic_manager 이다.

$ cd trafficserver-7.1.2/cmd
$ ls
Makefile     Makefile.in  traffic_crashlog  traffic_layout   traffic_top  traffic_wccp
Makefile.am  traffic_cop  traffic_ctl       traffic_manager  traffic_via

 

서버를 서비스하려면 traffic_manager 폴더로 들어가 traffic_manager 파일을 실행한다.

실행하면 2~3줄 정도 출력 될 것이다.

$ cd traffic_manager
$ ./traffic_manager

[ 대충 서비스가 시작된다는 내용 ]

 

자 이제 http://your-domain1.com 으로 웹 브라우저로 요청을 보내면 test 라는 문장이 웹 페이지에 보일 것이다.

마찬가지로 http://your-domain2.com 도 웹 바라우저로 요청을 보내면 똑같은 결과를 얻을 수 있을 것이다.

 

만약 ATS 설정을 바꿔야 하는 상황이 발생한다면, 설정 파일을 수정한 후, 아래 명령어를 입력한다.

$ cd trafficserver-7.1.2/cmd/traffic_ctl
$ ./traffic_ctl server restart

traffic_ctl은 서버 관련해서 서버를 재시작하거나 등등의 역할을 한다.

위 명령어를 입력하면 아까 ./traffic_manager 를 실행한 터미널에서 자동으로 중지 후 재시작하는 메시지가 출력이 되었을 것이다.

 

더 자세한 명령어는 아래 사이트를 참고하자.

https://github.com/apache/trafficserver

https://docs.trafficserver.apache.org/

 

 

 

 

# 3. After..

 

ㅠㅠ 정말 http request smuggling 공격 실습하려고 x랄 을 다하면서 했는데 결국 성공했다.

ubuntu 18.04 에서 계속 하다가 이 버전에서는 ATS 7.1.2 버그가 있고 상위 버전을 쓰면 http request smuggling 공격은 패치 되서 막막... 결국 ubuntu 16.04 버전에서 진행하고.. ATS 서비스는 어떻게 시작하는지... 역시 구글링이 답이었다.

 

아래 Reference 를 보고 정리 목적으로 작성했기 때문에 이 이상으로 환경 및 실습을 세팅하고 싶다면 

https://paper.seebug.org/1049/ 

사이트를 추천한다.

 

 

 

 

 

 

# 4. Reference

 

< http request smuggling 공격 관련 >

https://portswigger.net/web-security/request-smuggling

https://paper.seebug.org/1049/

< Apache Traffic Server 관련 >
https://www.digitalocean.com/community/tutorials/how-to-set-up-apache-traffic-server-as-a-reverse-proxy-on-ubuntu-14-04
https://github.com/apache/trafficserver
https://docs.trafficserver.apache.org/

 

< 실습 환경 lnmp 설치 >
https://hub.docker.com/r/fbraz3/lnmp

< 실습 환경 lamp 설치 >
https://hub.docker.com/r/fauria/lamp/