File include 취약점은 크게
local include Injection과
Remote include Injection 취약점으로 나뉜다.
Local include Injection 취약점은 시스템 내부의 파일을 열람하여 정보를 획득하거나, 내부에 파일을 생성시켜 악용하는 방법이며,
Remote Include Injection 취약점은 http 또는 ftp 프로토콜을 통한 외부 사이트의 소스를 실행 할 수 있는 기능을 이용하여 임의의 명령 실행이나 악의적인 스크립트를 실행시키는 공격 방법이다. 본 문제에서는 Local Include Injection 취약점에 대해서 다루었으며 소스코드 수정을 통한 보완을 할 수 있다.
1) 문제 확인.
- 웹브라우저를 이용하여 문제에 접근하면 다음과 같이 hint와 click to me 라는 문구가보인다.
- click to me를 클릭하면 전 페이지의서 제공된 소스를 분석하라고 친절하게 가르쳐 준다. download.phps 파일을 열람하여 소스를 분석해 보자.
- download.php의 소스 코드 내용 중 include 함수를 이용하는 부분에 php injection 취약점이 존재 한다는 것을 알 수 있다. Include($url. error.php) 부분을 보면 &url 이라는 변수 경로를 동적으로 할당해서 error.php의 파일을 include 시키는 형식으로 되어있다. 이러한 코드는 PHP injection 취약점을 발생시키며 내부에 있는 시스템 파일을 열람 할 수가 있다.
2) PHP injection 공격 시도.
- 다음과 같이 ../../../etc/passwd 라는 문자열을 url 파라메터에 삽입하여 시스템내부의 파일을 열람 할 수 있게 하였다. 하지만 오류메시지가 뜨면서 실행이 되지 않았다. 소스코드에서 보면 include($url.error.php) 로 되어있다. $url 이후에 error.php 문자열을 붙이도록 되어있기 때문이다. 이를 우회하기 위해 를 이용하여 문자열의 끝으로 인식시켜 /etc/passwd 파일을 열람 할 수 있었다. 이란 문자열의 끝인 NULL CHAR를 의미한다. 그러므로 /etc/passwderror.php에서 error.php는 서버에서 인식하지 않는 것이다.
- 1차 시도
- 를 이용한 2차 시도
3) download.php의 소스코드 수정.
- eregi 함수를 이용하여 $url 의 값을 검사 할 수 있다. 기본적으로 . , .. , /, // 와 같은 문자열을 막으므로 내부 시스템 파일을 확인 할 수 없도록 한다.
- 소스코드 적용확인.
4) 문제 해결 인증.
download.php에 추가된 소스코드 |
If( eregi(“http|\.\.|\/|\/\/|\.”,&url)) { echo ‘ not good :)’; exit; } |
Remote Include Injecton을 사용하기 위해서는 한가지 선행되어야 할 옵션이 있는데 바로 Apache 설정 중 allow_url_fopen이 on 으로 설정되어 있어야 하는 것이다. allow_url_fopen 기능이란 PHP에서 include를 이용하여 어떤 파일을 Include할 때 http, ftp 등 외부의 파일을 URL 방식으로 include 할 수 있도록 허용해 주는 기능이다. |
참고 사이트 : http://kr.php.net/manual/kr/function.eregi.php
참고 문서 : 홈페이지 개발 보안 가이드 – KISA
댓글 없음:
댓글 쓰기