Blog to Blog

When exploiting file upload vulnerability but system functions are blocked, we can use 'putenv' function to add 'LD_PRELOAD(environment variable)' to overwrite functions like 'getuid'. And if we call 'mail' function, it calls 'execve' externally. So we can execute our injected function. The example site has a simple page with file upload enabled. Our objective is to execute 'read_flag' file that..

PHP의 File Upload 취약점을 활용할 때 System 관련 함수가 막혔을 경우에는 putenv함수로 LD_PRELOAD 환경변수를 추가해 getuid 함수 등을 덮어씌운 뒤, mail함수를 호출하면 외부적으로 execve가 호출되며 우리가 삽입한 함수를 실행시킬 수 있다. 이와 관련해 실습을 하면서 설명을 기록해 두고자 합니다. 실습 사이트는 파일 업로드 기능이 구현되어 있는 간단한 페이지를 갖고 있습니다. 우리의 목표는 index.php가 들어있는 폴더에 있는 read_flag 파일을 실행시키는 것입니다. 전혀 보안처리가 되어있지 않은 소스코드로 작성되어 있기 때문에, exec 등의 함수로 ../../read_flag를 실행시켜 받아오면 끝날것 같아 보입니다. 그러나 해당 사이트의 php 설정..