DVWA : File Upload - Low level

이 문서에 포함된 어떠한 내용도 불법적이거나 비윤리적인 목적으로 보안 도구나 방법론을 사용하도록 가르치거나 장려하지 않습니다. 항상 책임감 있는 태도로 행동하세요. 여기에 설명된 도구나 기법을 사용하기 전에 개인 테스트 환경 또는 허가를 받았는지 확인하세요.

 

[ 환경 ]

DVWA	v1.9
Burp Suite	Community Edition v2024.11.2

1. Overview

파일 업로드 취약점은 사용자가 업로드한 파일을 처리하는 과정에서 보안 허점을 이용해 악의적인 행동을 수행할 수 있도록 하는 취약점이다. 이러한 취약점은 웹 애플리케이션과 서버 환경에 심각한 보안 위협을 초래할 수 있으며, 주로 원격 코드 실행, 정보 유출, 시스템 손상등과 같은 문제로 이어질 수 있다. 특히, 공격자는 파일 이름, MIME 타입, 파일 내용 등을 조작하여 의도하지 않은 동작을 유발하거나 시스템에 악성 코드를 심을 수 있다.

ㅁ 파일 업로드 취약점 발생 원인

파일 검증 부족 

• 서버 측에서 업로드된 파일의 확장자, MIME 타입, 크기, 내용 등을 철저히 검증하지 않음으로써 악성 파일의 업로드를 허용하게 된다.

저장 위치 및 권한 관리 미흡

• 업로드된 파일이 웹 루트 디렉터리 내에 저장되거나, 실행 권한이 부여된 경우 파일 실행으로 인한 보안 사고가 발생할 수 있다.

클라이언트 측 검증 의존

• 클라이언트 측에서만 파일 검증이 이루어지면 공격자가 이를 쉽게 우회하여 악성 파일을 업로드할 수 있다.

파일 크기 및 용량 제한 부재

• 대용량 파일 업로드를 허용하거나 이를 제한하는 설정이 없을 경우 서버 자원을 고갈시켜 서비스 거부(DoS) 공격이 가능해진다.

보안 정책 미흡

• 콘텐츠 보안 정책(CSP) 설정 부족, 로그 및 모니터링 미흡 등으로 의심스러운 활동을 탐지하지 못할 수 있다.

ㅁ 파일 업로드 취약점 대응방안

파일 검증 강화

• 허용된 파일 확장자 및 MIME 타입만 허용하고, 업로드된 파일 내용을 직접 분석하여 검증한다.
• 파일 이름과 확장자를 무작위 문자열로 변환하여 경로 조작 및 덮어쓰기 공격을 방지한다.

파일 저장 위치 및 권한 관리

• 업로드된 파일은 웹 루트 디렉터리 외부에 저장하며, 실행 권한을 제거한다.

서버 측 검증

• 클라이언트 측 검증에 의존하지 않고, 서버 측에서 업로드된 파일의 모든 속성을 검증한다.
• 파일 크기와 용량을 제한하고, 비정상적으로 큰 파일은 업로드를 차단한다.

안전한 콘텐츠 보안 정책(CSP) 설정

• 브라우저에서 악성 스크립트 실행을 방지하기 위해 CSP를 설정한다.
• 업로드된 파일의 URL로 접근하지 못하도록 별도 접근 제어를 적용한다.

로그 및 모니터링

• 파일 업로드 이벤트를 기록하고, 의심스러운 업로드 시도를 탐지 및 알림 시스템을 구축한다.
• 업로드된 파일을 주기적으로 안티바이러스 소프트웨어로 검사한다.

웹 애플리케이션 방화벽(WAF) 사용

• 파일 업로드와 관련된 공격 패턴을 탐지하고 차단하는 WAF를 활용하여 보안을 강화한다.

파일 업로드 취약점을 예방하기 위해서는 체계적이고 다층적인 보안 접근이 필요하다. 이러한 대응 방안을 통해 시스템의 안정성과 데이터를 보호하며, 사용자 신뢰를 유지할 수 있다.

 

2.  Source code analysis

[그림 1] Low level Soure code

 

요청 확인

if( isset( $_POST[ 'Upload' ] ) ) {

• 사용자가 Upload라는 이름의 POST 파라미터를 전송했는지 확인한다. 
• 이는 사용자가 업로드 폼을 통해 파일을 제출했는지를 확인하는 조건이다.

업로드 파일 경로 설정

$target_path  = DVWA_WEB_PAGE_TO_ROOT . "hackable/uploads/";
$target_path .= basename( $_FILES[ 'uploaded' ][ 'name' ] );

• DVWA_WEB_PAGE_TO_ROOT는 프로젝트 루트 디렉토리의 경로를 나타내는 상수이다.
• 업로드된 파일은 "hackable/uploads/ " 디렉토리에 저장된다.
•  basename( $_FILES[ 'uploaded' ][ 'name' ] )를 통해 업로드된 파일의 기본 이름(경로 제외)을 가져온다.
• 예: 사용자가 C:/Users/test/image.jpg를 업로드하면 basename( )은 image.jpg를 반환
• 최종 파일 경로는 업로드 디렉터리와 파일 이름을 결합하여 생성된다.
• 예: /path/to/project/hackable/uploads/image.jpg

파일 이동 및 저장

if( !move_uploaded_file( $_FILES[ 'uploaded' ][ 'tmp_name' ], $target_path ) ) {
       echo '<pre>Your image was not uploaded.</pre>';
}
  else {
       echo "<pre>{$target_path} succesfully uploaded!</pre>";
}

• move_uploaded_file(  ) : PHP의 기본 함수로, 업로드된 파일을 임시 디렉터리에서 지정된 디렉터리로 이동
• $_FILES[ 'uploaded' ][ 'tmp_name' ] : 업로드된 파일의 임시 저장 경로
• $target_path : 업로드된 파일의 최종 저장 경로
• 파일 이동이 실패하면 사용자에게 "Your image was not uploaded." 메시지를 출력
• 파일 이동이 성공하면 업로드 경로와 함께 성공 메시지를 출력

보안상의 문제점

파일 확장자 검증 부족

• 업로드된 파일의 확장자가 제한되지 않음
• 공격자가 PHP 스크립트를 업로드하여 원격 코드 실행(RCE) 공격을 수행할 수 있다.
• 예: shell.php 업로드 후 URL로 실행(http://example.com/uploads/shell.php).

 업로드 디렉터리 보호 미흡

• 업로드 디렉터리에서 업로드된 파일을 실행할 수 있는 상태라면, 악성 스크립트가 실행될 위험이 있음
• 디렉터리 접근 권한이 제한되지 않았다면, 파일이 외부에 공개될 가능성

파일 크기 및 MIME 타입 검증 없음

• 업로드된 파일의 크기와 유형을 검증하지 않음
• 공격자가 서버를 과부하시키기 위해 대용량 파일을 업로드하거나, 잘못된 파일 형식을 업로드할 수 있음

 

3. Practical exercises

우선 기능을 확인하기 위해 간단한 파일을 업로드하고, 어떻게 되는지 확인해 보자. test.txt 파일을 업로드하면, [그림 2]와 같이../../hackable/uploads/ 디렉터리에 업로드되는 것을 확인할 수 있다. 따라서 업로드된 폴더의 경로는 http://192.168.107.144 /hackable/uploads/가 된다.

[그림 2] 파일 업로드 경로 확인

 

업로드가 되는 경로를 확인하였으니, WebShell을 업로드해 보자. 앞서 소스코드에서 확인하였듯이 파일 확장자 검증,  파일 크기 및 MIME 타입 검증을 하지 않는 것을 확인하였다. 역시나 업로드하는데 별다른 문제없이 [그림 3]과 같이 업로드된 것을 확인할 수 있다. 

[그림 3] WebShell 업로드 성공

 

[그림 3]에서 확인한 업로드 경로를 이용하여 URL을 입력하여 직접 접근하면 업로드한 WebShell을 실행할 수 있다.

[그림 4] 업로드한 WebShell 실행