DVWA : Command Injection - Impossible level

[ 환경 ]

DVWA	v1.9
Burp Suite	Community Edition v2024.11.2

1. Source code analysis

[그림 1] Impossible level Source Code

 

Impossible level은 보안조치가 된 소스코드로 이 코드는 사용자가 입력한 IP 주소로 ping 명령을 실행하는 기능을 제공한다. 추가적으로, CSRF(Cross-Site Request Forgery) 방어를 위해 Anti-CSRF 토큰을 검증하며, IP 주소 형식을 직접 확인한다.

Anti-CSRF 토큰 검증

checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );

• checkToken( ) 함수는 클라이언트에서 전송된  토큰 ( user_token )과 서버에 저장된 세션 토큰 ( session_token )이 일치하는 지 확인한다.
• 일치하지 않으면 index.php로 리디렉션 한다.

사용자 입력값 가져오기

$target = $_REQUEST[ 'ip' ];
$target = stripslashes( $target );

• 사용자가 입력한 ip 값을 가져오며, stripslashes( ) 함수는 문자열에서 역슬래스(\)를 제거한다. 

IP 주소를 분할하고 검증

$octet = explode( ".", $target );
 
if( ( is_numeric( $octet[0] ) ) && ( is_numeric( $octet[1] ) ) && ( is_numeric( $octet[2] ) ) && ( is_numeric( $octet[3] ) ) && ( sizeof( $octet ) == 4 ) ) {
$target = $octet[0] . '.' . $octet[1] . '.' . $octet[2] . '.' . $octet[3];

• explode( ".", $target )은 IP 주소를 마침표(.)로 분리하여 4개의 요소로 나눈다.
• 예 : 192.168.107.144 ▶ ['192', '168', '107', '144']
• is_numeric : 각 요소가 숫자 인지 확인한다.
• sizeof( $octet ) == 4 : 요소가 정확히 4개인지 확인한다.
• 분리된 각 요소를 다시 마침표(.)로 연결하여 IP 주소를 재구성한다.

OS에 따른 ping 명령 실행

if( stristr( php_uname( 's' ), 'Windows NT' ) ) {
    $cmd = shell_exec( 'ping  ' . $target );
} else {
    $cmd = shell_exec( 'ping  -c 4 ' . $target );
}

• php_uname( 's' ) 함수는 서버의 운영체제 이름을 반환한다.
• Windows 운영체제인지 확인하기 위해 stristr( )를 사용하여 문자열에 Windows NT가 포함되어 있는지 검사한다.
• Windows인 경우 ping 명령어를 사용하여 입력받은 IP 주소에 핑을 보내며, Unix/Linux인 경우 ping -c 4 명령어를 사용하여 4개의 ICMP 패킷만 전송한다.
• shell_exec( ) 함수는 실행된 명령의 결과를 반환하며, $cmd에 저장한다.

결과 출력

echo "<pre>{$cmd}</pre>";

• 명령어 실행 결과를 <pre> 태그를 사용해 출력하며, <pre> 태그는 공백과 줄 바꿈을 유지하며 결과를 보기 쉽게 표시한다.

유효하지 않은 IP 주소 처리

else {
    echo '<pre>ERROR: You have entered an invalid IP.</pre>';
}

• IP 주소가 유효하지 않은 경우, 오류 메시지를 출력한다.

Anti-CSRF 토큰 생성

generateSessionToken();

• generateSessionToken( ) 함수는 Anti-CSRF 토큰을 생성하여 세션 변수 $_SESSION[ 'session_token'  ]에 저장한다.

 

2. Source code improvements

다음은 앞서 살펴본 코드에서 보안성과 기능성을 개선한 코드의 예제로 명령어 삽입 방지, 정확한 IP 검증, 출력 안전화와 같은 보안 강화를 적용했다.

<?php

// Anti-CSRF 토큰 생성
session_start();
if (!isset($_SESSION['session_token'])) {
    $_SESSION['session_token'] = bin2hex(random_bytes(32));
}

function checkToken($userToken, $sessionToken, $redirect)
{
    if (!hash_equals($sessionToken, $userToken)) {
        header("Location: $redirect");
        exit("CSRF token validation failed.");
    }
}

if (isset($_POST['Submit'])) {
    // Check Anti-CSRF token
    checkToken($_POST['user_token'], $_SESSION['session_token'], 'index.php');

    // Get and validate input
    $target = $_POST['ip'];

    // Validate IP address
    if (!filter_var($target, FILTER_VALIDATE_IP)) {
        die('<pre>ERROR: You have entered an invalid IP.</pre>');
    }

    // Determine OS and execute the ping command
    if (stristr(php_uname('s'), 'Windows NT')) {
        $cmd = shell_exec('ping ' . escapeshellarg($target));
    } else {
        $cmd = shell_exec('ping -c 4 ' . escapeshellarg($target));
    }

    // Feedback for the end user
    echo "<pre>" . htmlspecialchars($cmd, ENT_QUOTES, 'UTF-8') . "</pre>";
}

?>

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <title>Ping Utility</title>
</head>
<body>
    <form method="post">
        <label for="ip">Enter IP Address:</label>
        <input type="text" name="ip" id="ip" required>
        <input type="hidden" name="user_token" value="<?php echo $_SESSION['session_token']; ?>">
        <button type="submit" name="Submit">Ping</button>
    </form>
</body>
</html>

 

Anti-CSRF 방어 강화

if (!isset($_SESSION['session_token'])) {
    $_SESSION['session_token'] = bin2hex(random_bytes(32));
}

• bin2hex(random_bytes(32))를 사용하여 고유하고 안전한 토큰 생성한다.

if (!hash_equals($sessionToken, $userToken)) {
        header("Location: $redirect");
        exit("CSRF token validation failed.");
    }

• hash_equals()를 사용하여 타이밍 공격 방지하며, 잘못된 토큰이 제출되면 리디렉션 및 종료한다.

입력값 검증

if (!filter_var($target, FILTER_VALIDATE_IP)) {
        die('<pre>ERROR: You have entered an invalid IP.</pre>');
    }

• filter_var()를 사용하여 IP 주소 형식을 정확히 검증하고, 유효하지 않은 입력에 대해 명확한 에러 메시지를 반환한다.

명령어 실행 보안

if (stristr(php_uname('s'), 'Windows NT')) {
        $cmd = shell_exec('ping ' . escapeshellarg($target));
    } else {
        $cmd = shell_exec('ping -c 4 ' . escapeshellarg($target));
    }

• escapeshellarg()로 입력값을 이스케이프 처리하여 명령어 삽입 방지하며, 운영체제별로 적절한 ping 명령을 사용한다.

출력 안전화

echo "<pre>" . htmlspecialchars($cmd, ENT_QUOTES, 'UTF-8') . "</pre>";

• htmlspecialchars()를 사용하여 HTML 출력 중 XSS 방지한다.

폼 구현

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <title>Ping Utility</title>
</head>
<body>
    <form method="post">
        <label for="ip">Enter IP Address:</label>
        <input type="text" name="ip" id="ip" required>
        <input type="hidden" name="user_token" value="<?php echo $_SESSION['session_token']; ?>">
        <button type="submit" name="Submit">Ping</button>
    </form>
</body>
</html>

• HTML 폼에서 CSRF 토큰을 숨겨진 필드로 전송하며, 입력값 필드에 required 속성을 추가하여 빈 값 제출 방지한다.