윈도우 서버 점검 항목 W-02를 점검해보자.

서버에 접속 후 

1. 윈도우 쉘(CMD) 실행

2. net user guest 입력

3. Guest 게정 "활성 계정" 여부 확인

양호 : 비활성화 / 취약 : 활성화

-끝-

우선 rpc가 무엇인지 알아보자.

RPC = Remote Procedure Call / 원격 프로시저 호출의 약자이다.

별도의 원격 제어를 위한 코딩 없이 다른 주소 공간에서 함수나 프로시저를 실행할 수 있게하는 프로세스 간 통신 기술이다. 다시 말해, 원격 프로시저 호출을 이용하면 프로그래머는 함수가 실행 프로그램에 로컬 위치에 있든 원격 위치에 있든 동일한 코드를 이용할 수 있다.(from wikipedia)

분산처리 환경은 서버 응용프로그램과 각 서버에 접근하여 작업을 요구하는 클라이언트 프로그램을 필요로 하는데, 이러한 프로그램 개발을 위한 기본 툴로써 제공되는 것이 바로 RPC이다. RPC를 이용하지 않고 서버-클라이언트 모델을 기준으로 하여 분산 응용 프로그램을 개발할 수도 있지만 이때 개발자는 통신기능, 프로토콜, 그리고 그 밖의 작업들을 직접 작성해야 하는 부담이 있으며 이식성에도 한계점이 있다. 따라서 RPC를 사용하게 되면 분산 시스템 개발이 더욱 용이해진다.(https://www.linux.co.kr/home2/board/subbs/board.php?bo_table=lecture&wr_id=384)

---------------------------------------------------

(생략) rpcinfo 명령어는 해당 장비의 rpc 정보를 보여준다.

(사용 예시)

출처 및 세부내용 참고자료 : https://www.ibm.com/docs/ko/aix/7.2?topic=r-rpcinfo-command 

rpc보안 참고자료 : https://www.linux.co.kr/home2/board/subbs/board.php?bo_table=lecture&wr_id=384

-끝-

케이스 기반 로깅

점검시 일반적으로 root계정으로 "echo $path" 입력하여 path 환경변수를 확인함

$echo $path
.:/usr/local/bin:/bin:/usr/sbin

위는 예시를 보면 $path 값이 ".:/usr/local/bin:/bin:/usr/sbin"로 설정됨을 볼 수 있음

path 파일의 구조를 보면

"경로1 : 경로2 : 경로3" 순으로 주소를 인식함.

따라서 해당 예시의 경로는 

1. '.'

2. /usr/local/bin

3. /bin

4. /usr/sbin

순으로 root가 인식한다고 보면 됨.

여기서 발생할 수 있는 취약 사항은

'.'가 먼저 인식되므로, 악의적인 사용자가 ls, pwd 등의 파일을 특정 경로에 생성하고

이를 모르는 타사용자(root)가 ls, pwd 등의 명령어를 /특정 경로에서/ 사용하게 되면

기본적으로 알고 있는 명령어가 아닌 /공격자가 제작한 파일/이 실행될 수 있다는 점임

다른 방식으로 활용할 수도 있지만 생략

또한 ::의 경우 빈항목으로 '현재 디렉터리'를 의미함(사실상 '.'와 같다)

따라서 조치방안은

path 파일의 경로에 . / :: 를 없애거나, 제일 마지막으로 넣는 것을 권장한다.

물론 취약확인하는 것도

처음 또는 중간에 . 이나 :: 가 있는지 보고 있으면 취약이다.

[주통예시]

끗