Path Traversal : self-test [2]

DATE : 2023/11/5

이번 POST에서는 Path Traversal [2]에서 봤던 사례 중

path traversal sequence를 strip! 해버리는 경우를 재현해볼까 한다.

전체적인 페이지 구성은 Path Traversal self test과 동일하다.

images.php로 접속해 이번에는 4.jpg 이미지를 요청해봤다.

결과는 위와 같이 정상적으로 이미지가 바뀌는 걸 볼 수 있었고 이때의 packet을 보면

<img> tag의 값이 ./images/4.jpg인 걸 보아 사용자가 요청한 이미지는

페이지와 동일한 경로가 아닌 /images directory에서 꺼내온다는 걸 알 수 있다.

따라서 우리의 목표인 hanhxx directory - secret.txt를 읽기 위해서는

기본적으로 설정된 /images directory 경로에서 한 번 빠져나오도록 해야 한다.

directory를 빠져나오기 위해 path traversal sequence를 사용하면..!

페이지 상에는 alt 값이 출력 되고

(사용자가 입력한 경로와 일치하는 이미지 파일이 없기 때문에)

packet에서도 404 Not Found 라고 한다. 흠 🧐

Path Traversal self test에서는 이렇게 해서 분명 directory 이동에 성공했는데..

문제가 있는 듯하다!!

[ images.php ]

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <title>Image</title>
</head>
<body>
    <h2>Enter filename to check a image</h2>
    <form action="" method="GET">
        <input type="text" name="filename" placeholder="ex) 1.jpg" >
        <input type="submit" value="CHOICE" name="submit">
    </form>
</body>
</html>

<?php
if(array_key_exists('submit', $_GET)) {
    $filename = $_GET['filename'];
    $filename = str_replace('../','',$filename);

    echo "<br><img src='./images/$filename' alt='$filename' width='600' height='400'>";
} else {
    echo "<br><img src='./images/1.jpg' alt='1.jpg' width='600' height='400'>";
}
?>

self-test [1]과 비교해봤을 때, PHP code가 추가되었다.

이번에 구현한 환경은 기본적으로 sequence ../ 를 차단하기 위해서

$filename = $_GET['filename'];
$filename = str_replace('../','',$filename);

"../"를 발견하면 공백으로 교체해버리는 내용을 추가했다.

그렇다 보니 위에서 입력한 값이 $filename으로 전달되면

$filename = "../hanhxx/secret.txt"

str_replace('../','',$filename) => str_replace('../','',"../hanhxx/secret.txt")

../hanhxx/secret.txt => hanhxx/secret.txt

이와 같은 과정으로 sequence가 제거 되는 것이다..!

하.지.만 sequence를 제거함으로써 만들어지는 sequence는 어떻게 막지 못한다!!

....//hanhxx/secret.txt

와 같이 값을 입력하게 되면

str_replace('/','',....//hanhxx/secret.txt);

....//hanhxx/secret.txt => ../hanhxx/secret.txt

함수를 거친 결괏값에 sequence가 포함 되므로

str_replace 과정을 거친 값이 filename으로 들어가게 되면

<img> 경로 값에 위와 같이 "../"이 남아있게 된다.

해당 경로의 이미지를 가져오기 위해 /images/../hanhxx/secret.txt 경로의 파일을 요청하게 되면

response에서 secret.txt 파일 내용을 확인할 수 있게 된다!!

이렇게 해서 우회 성공! 😄

---

직접 구현한 예시를 통해서

일차적으로 sequence만 제거하려고 하다 보면 생각보다 쉽게 우회될 수 있음을 알게 되었다.

sequence를 제거하는 과정 후에도 nested sequence와 같이

path traversal sequence가 존재하는 지 확인하거나 애초에 sequence가 감지되면

그 이후의 어떠한 script도 실행되지 않도록 중단해버리는 등 추가적인 보완이 필요할 듯하다. 😫😫