파일 다운로드 취약점 실습(1)

파일 다운로드 취약점 실습(1)

Start-Up Kshield 주니어 교육 프로그램에서 제공한 게시판 페이지 기능에서 파일 다운로드 취약점을 실습할 것이다.

 

 

먼저 파일 다운로드 취약점은 파일 다운로드 할 수 있는 기능이 있어야 하고 파일 다운로드 시 받고자 하는 파일 이름으로 다운로드 받는 방식이 동적으로 개발된 경우 파일과 그 파일의 경로가 매개변수에 직접적으로 노출되어지기 때문에 공격자는 다른 파일의 이름과 경로를 조작해 중요 파일을 다운로드 받을 수 있다.

 

 

해당 게시판에서 제공하는 웹셸 파일이다.

 

 

Burp Suite 도구를 이용해 파일을 다운로드 받는 패킷을 잡아보면 다운로드 받는 파일 이름 strFileName과 f_path인 파일 경로가 나와있는 걸 볼 수 있다. 이렇게 직접적으로 노출 되는 이유는 데이터베이스를 사용하지 않기 때문에 직접적으로 접근할 수 있다.

 

 

1번 줄에 있는 GET 방식의 경로를 복사했다. http://61.39.155.24:50010/demoshop/shop_board/shop_download.asp?strFileName=cmd(1).asp&f_path=upload_file

 

 

url 경로에 파일 다운로드 기능이 있는 파일이 노출되고 있는 것을 확인하였고 이 파일을 다운로드 받아서 확인해 볼 것이다.

 

 

http://61.39.155.24:50010/demoshop/shop_board/shop_download.asp?strFileName=shop_board_list.asp 처럼 뒤에 있는 f_path 경로 명을 지우거나 ../ 을 해준 후 strFileName을 shop_board_list.asp 파일로 바꿔주었다.

 

 

url에 저 경로를 붙여넣어주면 shop_board_list.asp 파일이 다운로드 받은 것을 확인할 수 있다.

 

 

shop_board_list.asp 파일을 메모장에 드래그앤드롭 하면 파일의 소스 코드를 확인해 볼 수 있다.

 

 

소스 코드 내용을 잘 살펴보면 dbconn.asp 라고 하는 데이터베이스와 연결하는 asp 파일을 확인하였고 저 파일도 다운로드 받아서 확인해볼 수 있다.

 

 

http://61.39.155.24:50010/demoshop/shop_board/shop_download.asp?strFileName=dbconn.asp&f_path=../admin/ d을 url에 붙여넣어주고 dbconn.asp 파일을 다운 받을 수 있다. 메모장을 열어서 확인해보면 db의 아이디와 패스워드, 데이터베이스의 이름, 서버가 localhost이므로 웹 서버와 같다는 것까지 확인할 수 있다.