[DVWA] File Inclusion

Practice/DVWA

[DVWA] File Inclusion

Gearvirus(junyup2) 2024. 4. 9. 19:55

Vulnerability: File Inclusion

File Inclusion(파일 실행) 취약점은 공격자가 지정한 파일 내에 포함된 Server Side Script 코드를 실행하도록 하는 공격이다. 공격자의 파일이 웹 서버 내부에 있으면 내부파일실행(LFI, Local File Inclusion), 다른 서버에 위치하는 경우에는 외부파일실행(RFI, Remote File Inclusion)이라고 한다.

최근에는 PHP가 외부파일에 접근하는 것이 기본적으로 비활성화되어 있으므로 실제 서비스에서 RFI 취약점은 거의 발생하지 않는다. 개발자들의 인식이 확산되면서 LFI의 경우에도 흔하지는 않은 취약점이 되어가고 있다. LFI 취약점은 파일업로드(웹쉘업로드) 취약점에 비해서는 매우 드물게 발견된다고 한다.

PHP의 경우에는 include(), include_once(), require(), require_once()와 같은 include() 계열의 함수를 사용하면서 그 인자를 변수로부터 입력받을 때 발생한다. (따라서 소스 수준의 취약점 분석에서 include(), include_once(), require(), require_once() 같은 함수에 URL 변수값이 전달되는 지를 검사하면 LFI 취약점 여부를 판단할 수 있다.

사용자 입력값에 따라 LFI 위험도가 달라진다.

위험도 (상): include($_GET['filename']);
위험도 (중): include($_GET['filename'].'.inc');
위험도 (하): include('include.php');

위험도 (상)의 경우는 PHP 실행에 포함할 인자를 온전하게 파일명(filename)에서 받는 경우인데, 이 경우 어떠한 파일이라도 입력할 수 있기 때문에 매우 위험하다.

위험도 (중)의 경우는 filename에 .inc 문자열을 덧붙여서 파일을 참조하는 것인데, 이 경우에는 inc확장자를 가지는 파일을 업로드할 수 있는 경우 매우 위험할 수 있다. (또 다른 경우로는 NULL-Byte Injection (%00 삽입) 이 가능할 한 경우에는 확장자에 상관없이 FLI 취약점이 발생할 수 있다.)

위험도 (하)의 경우는 특정 파일을 지정하는 것이다. 이 경우에는 공격자가 '실행 결과는 어떤 파일을 참조했는지 나타나지 않으므로' 참조되는 파일의 이름을 알 수 없기 때문에 LFI의 공격 가능성이 매우 낮다.

LFI vs Path Traversal

내부 파일을 참조한다는 점에서 두 취약점은 서로 닮아있다. 하지만 참조한 파일 내에 실행코드가 있을 때 이를 실행한 결과를 전달한다면 LFI라고 부른다. Server Side Script 코드를 포함하여 파일을 내용을 그대로 출력하는 경우에는 Path Traversal이라고 부른다.

가장 대표적으로 사용하는 내부파일은 /etc/passwd 인데, 이 파일에는 php 코드가 없으므로 LFI와 Path Traversal을 구분할 수 없다. 때문에 Path Traversal보다 위험한 LFI 취약점의 여부를 판단하기 위해서는 php 코드가 포함된 파일을 입력값으로 전달하여 그 결과를 비교해보면 된다.

DVWA File Inclusion 실습

실습 환경
- Windows Docker를 이용한 DVWA
- Windows 환경의 Burp Suite

위와 같이 DVWA의 Vulnerability: File Inclusion 실습 문제에서는 page=include.php, page=file1.php, page=file2.php, page=file3.php와 같이 4개의 내부파일을 참조한다.

Security Level: Low

Low 레벨의 경우, Include 파라미터에 대한 검증이 이루어지지 않고 있기 때문에 이를 이용한다.

../../../../../../etc/passwd

Security Level: Medium

Medium 레벨의 경우, Redirect 방지를 위한 http:// , https://와 Path traversal 방지를 위한 ../ , ..\ 가 필터링 되어있다.

하지만 ../ 를 공백 문자열로 치환하는 방식을 사용하고 있기 때문에 ..././ 를 입력하는 경우 중간의 ../만 공백으로 바뀐다.

.(../)./ 가 되어 이를 붙이면 ../ 가 되는 것을 이용한다.

..././..././..././..././..././..././etc/passwd

Security Level: High

High 레벨의 경우 파일명이 file로 시작하거나, include.php 에 해당하는 경우에만 입력을 허용하였다.

(include 되는 파일명이 file1, file2, file3 여서 그렇다고 생각된다.)

PHP에서 사용하는 URL 형식 중의 file:// 형식을 이용할 것이다.

파일명에 file://를 붙여서 우회가 가능하다.

file:///../../../../../../etc/passwd

위의 방법은 file://를 이용하여 우회하였지만, 업로드 기능이 존재한다면 파일명을 file로 시작하도록 업로드하여 우회하는 방법도 가능할 수 있다.

Security Level: Impossible

Impossible 레벨의 경우, include.php, file1.php, file2.php, file3.php 처럼, include에 원래 들어갈 수 있는 파일만 허용하도록 한다. 입력할 수 있는 경우의 수를 정해진 4개의 파일 이름으로만 제한하였다. 이런 경우에는 LFI 취약점이 발생할 확률은 거의 없다.

File Inclusion 대응

파일을 참조하여 사용하는 File Include 기능이 있는 경우에는 해당 파라미터에 대하여 사용자가 입력값을 변경할 수 없도록하고, 허용된 파일만을 입력으로서 받도록 해야한다.

질문 환영, 수정 및 보완에 대한 지적 환영

저작자표시