일 | 월 | 화 | 수 | 목 | 금 | 토 |
---|---|---|---|---|---|---|
1 | 2 | 3 | 4 | 5 | 6 | 7 |
8 | 9 | 10 | 11 | 12 | 13 | 14 |
15 | 16 | 17 | 18 | 19 | 20 | 21 |
22 | 23 | 24 | 25 | 26 | 27 | 28 |
29 | 30 | 31 |
- file_upload bypass
- 2019 사이버작전 경연대회 writeup
- 문화상품권 핀번호 자동등록
- webhacking
- 파일 업로드 ld_preload
- 정보보호병 면접
- 2019 화이트햇
- 정보보호병 면접 후기
- 화이트햇 writeup
- file upload vulnurability
- 육군 정보보호병
- 정보보호병 면접 질문
- CTF
- file upload ld_preload
- 컬쳐랜드 매크로
- ctf php eval
- 파일 업로드 bypass
- 2019 화이트햇 writeup
- 사이버작전 경연대회 writeup
- 2019 사이버작전 경연대회
- ctf web writeup
- 2019 사이버작전
- 파일 업로드 취약점
- CTF writeup
- ctf php
- file upload ld_preload mail
- 정보보호병 면접 준비
- LD_PRELOAD
- 문화상품권 매크로
- 상품권 매크로
- Today
- Total
Blog to Blog
[WebHacking] File Upload 취약점 - LD_PRELOAD를 이용한 여러가지 방법 본문
지난 포스트에서는 LD_PRELOAD 환경변수와 MAIL 함수를 이용한 공격법을 소개해 드렸습니다.
이번 포스트에서는 MAIL 함수 외에도 사용이 가능한 여러가지 방법을 소개시켜 드리고자 합니다.
첫번째 방법 - mail을 제외한 다른 메일 관련 함수 사용
하지만 기본 mail() 함수 외에는 따로 설치가 필요합니다.
mail() 같은 경우에는 별다른 설치 없이 함수 실행이 가능하고, 실제로 사용을 위해서는
sendmail이 설치되어 있어야 합니다.
그러나 IMAP을 이용해서 공격을 하기 위해서는 해당 서버에 설치가 되어있어야 합니다.
IMAP을 설치한 후에 위와 같은 컴파일 옵션을 줘야 합니다.
가능한 경우를 찾기 위해서는 phpinfo를 확인해야 합니다.
phpinfo에서 Configure Command 옵션을 확인하면 이용 가능한 것들을 확인할 수 있습니다.
마침 해당 서버는 IMAP이 이용 가능하니 예시를 통해 확인시켜 드리겠습니다.
<?php
imap_mail("a","a","a","a");
?>
위와 같은 php파일을 만들고 strace로 확인해보겠습니다.
mail() 함수와 동일하게 execve를 실행시키는 것을 확인할 수 있습니다.
두번째 방법 - error_log를 이용한 방법
PHP의 함수 중 하나인 error_log는 서버에 관련 에러사항을 기록하기 위해서 사용되는 함수입니다.
그러나 여기서 $message_type을 조절하면 mail로 해당 에러 메세지를 전송시킬 수 있습니다.
error_log([남길 에러 메세지], 1, [메일 주소])
이런 방식으로 사용하면 mail로 전송시키려고 시도하므로,
mail()함수와 비슷한 동작을 하리라 생각해 볼 수 있습니다.
실제로 strace를 이용해서 확인해 봅시다.
<?php
error_log("test",1,"test@test.test");
?>
execve를 실행시키는 것을 확인할 수 있습니다.
그러므로 error_log를 이용한 공격도 가능합니다.
세번째 방법 - ImageMagick을 이용한 방법
ImageMagick에서 PostScript 형식의 파일(.pdf, .ps, .eps) 등을 열면
이를 해석하기 위해
execve("/usr/bin/gs") 등 ghostscript를 execve로 실행시킨다고 합니다.
그러나 기본적으로 보안 상의 이유로 해당 파일은 허용되지 않도록 설정되어 있습니다.
(ImageMagick 3.4.3RC2 기준)
하지만 invalid한 .eps 파일을 ImageMagick으로 열면 해당 보안을 무력화시키고
execve("/usr/bin/gs")를 실행하도록 할 수 있다고 합니다.
이에 대한 것은 Google CTF 2019 - Wallbreaker Easy 문제에서 활용되었습니다.
자세한 사항은 CTFTime에 등록된 해당 문제의 writeup을 참고하시면 좋을 것 같습니다.
네번째 방법 - 이외에도 가능한 여러가지 경우에 대하여
이외에도 execve를 사용하도록 유도할 수 있다면 비슷한 방법으로 exploit할 수 있습니다.
또한, 특정 PHP함수에서만 활용하는 외부 함수가 있다면,
해당 함수를 덮어씌우는 방법으로도 가능할 것으로 보입니다.
추후에 실험을 통해 새로운 방법을 찾으면 포스트를 업데이트 하도록 하겠습니다.
잘못된 부분이나 추가해야 할 부분이 있다면 댓글로 알려주시길 바랍니다.
감사합니다.