Q.E.D.――セキュリティ問題を解決するのは「人」：セキュリティ対策の「ある視点」（17）（2/3 ページ）

» 2009年09月09日 00時00分公開

4．もしかして脆弱性が？

　ここまでの流れを整理してみよう。

　ポートスキャンにより、tcp/80、tcp/443が開放しているということから検査対象はWebサーバであることが推測され、ブラウザによるアクセスを行うとコンテンツが表示されWebサーバであることが判明した。

　次に、そのWebサーバに対して、バナーチェックを行うことにより、Webサーバは「Microsoft-IIS/6.0」であることが判明した。

　辞書をもとにディレクトリの発見を試みた結果「webdav」「phpmyadmin」という2つのディレクトリが発見された。

　「webdav」というディレクトリ名から検査対象上でWebDAVが稼働していることが推測できるため、OPTIONSメソッドを発行し、その結果から、WebDAVが稼働している可能性が高いと判断できた。また、「webdav」ディレクトリはそのものに認証が施されており閲覧することができない。「phpmyadmin」ディレクトリもアクセスはできるもののその先にはいけない。それぞれの認証を突破することも容易ではないという状況である。

　ここまでをまとめると分かるように、本件には手詰まり感が漂っている。しかし、「IISと WebDAVが稼働している」という組み合わせがキーポイントだ。これで思いつく脆弱性はないだろうか。

　最近（2009年8月の原稿執筆現在）発見・公表された脆弱性といえばMS09-020「インターネットインフォメーションサービス (IIS) の脆弱性により、特権が昇格される」である。この脆弱性が存在するか否かをチェックするためnmapのNSE（Nmap Scripting Engine）を用いたチェックを行う。

> nmap -p 80 --script=http-iis-webdav-vuln ip.ip.ip.ip

図6　nmapを用いた脆弱性のチェック

　上図が示すとおり、検査対象には予想された脆弱性が存在するようである。

　この脆弱性は、細工したHTTPリクエストを認証を必要とするサイトに送信した場合にその認証を回避し、アクセスを行うことが可能となるものである。この細工したリクエストを認証が施されている「webdav」に送信し、どのようなファイルが格納されているかの確認の行ってみよう。

図7　認証を回避しWebDAVディレクトリ内の一覧を表示

　上図のように脆弱性を利用し、「webdav」ディレクトリに格納されているファイルのリストを取得することができた。さらに、この取得できたファイルリストをもとに実際のファイルのダウンロードを試みる。

図8　認証を回避し、ファイルをダウンロード取得

　ファイルリスト取得の際と同じく、認証を回避してダウンロードすることに成功した。

5．そして貫通へ……

　ダウンロードしたファイルは複数あるが、その中にひときわ筆者の気を引くファイルが存在した。それは圧縮されたファイルである。それも相当サイズが大きいものである。

　早速、圧縮ファイルを展開し中身の確認を行ったが、サイズからも予想される通り、かなりの数のファイルが存在した。いくつかのファイルの内容を確認したところ、Webコンテンツのバックアップファイルであると考えられた。Webアプリケーションのソースコードもあったため、ファイルすべてに対して、ユーザー名やパスワードが記述されている個所の検索を行ったところ、データベースに接続する際のユーザー名とパスワードを発見することができた。