🕹️ 7. 파일 다운로드

첼라 모의해킹 가이드

🕹️ 모의해킹 체험 도전

🕹️ 모의해킹 체험 따라하기 ▶

STEP_1) 등록된 게시글 조회

STEP_2) 첨부된 파일(test.txt) 파일 클릭

STEP_3) 프록시 툴인 Burp Suite을 이용하여, 요청하는 파일명을 시스템 파일(/etc/passwd)의 상대 경로로 변조 후 요청

STEP_4) 시스템 파일(/etc/passwd)에 접근이 가능하며, 해당 파일 내 작성된 FLAG 값 확인 가능

O 파일 다운로드 스크립트를 이용하여 서버의 소스코드, 시스템 파일 등 주요 파일을 다운로드 할 수 있는 취약점

O 근거 자료

☞ 주요정보통신기반시설 기술적 취약점 분석 평가 상세 가이드(p.715)

O 판단 기준

양호	다운로드 파일이 저장된 디렉터리 이외에 접근이 불가능한 경우
취약	다운로드 파일이 저장된 디렉터리 이외에 접근이 가능한 경우

O 점검 방법

- 경로이동문자(../ 혹은 ..\)를 이용하여 다운로드 파일의 경로 조작

- '../' 및 '..\'등을 필터링할 경우 '…/./' 및 '…\.\'등으로 필터링 우회

- /(%2F) , \(%5C) URL 인코딩을 이용하여 필터링 우회

# 시스템 파일 다운로드 예시

- Linux 시스템 파일 : ../../../../../etc/passwd

- Windows 시스템 파일 : ..\..\..\..\..\Windows\System32\Drivers\etc\host

O 조치 방법

- 사용자로부터 받은 값에 "../", "..\" 존재 시 오류 처리

- 업로드 및 다운로드 디렉터리를 분리된 하드웨어 또는 파티션에 위치하도록 설정

- 어플리케이션이 다운로드 받을 수 있는 위치 이외의 경로에서 다운로드 제한

- 파일 경로 입력 시 전체 경로 사용 및 노출 금지

- 다운로드 가능한 파일명을 데이터베이스에 저장하여 다운로드 파일은 사용자의 요청 시 데이터베이스를 참조하도록 구현

O 시큐어 코딩(Secure Coding) 예시

# 파일명 데이터베이스 참조 모듈 ▶

==== com.example.demo.board.service.BoardService.java ====
public FileVO fileDetailService(int bno) throws Exception{   
    return mBoardMapper.fileDetail(bno);
}
==== com.example.demo.board.mapper.BoardMapper.java ====
public FileVO fileDetail(int bno) throws Exception;
==== com.example.demo.board.mapper.BoardMapper.xml ====
SELECT * FROM Files WHERE BNO = #{bno}

# JSP ▶

.....
String UPLOAD_PATH= "/var/www/upload/";
String filename= response.getParameter("filename");
String filepathname = UPLOAD_PATH + filename;

if(filename.equalsIgnoreCase("..") || filename.equalsIgnoreCase("/"))
    // 파일 이름 체크
    return 0;
}
// 파일 전송 루틴
response.setContentType("application/unknown; charset=euc-kr");
response.setHeader("Content-Disposition","attachment;filename=" + filename + ";");
response.setHeader("Content-Transfer-Encoding:" , "base64");
    
try {
    BufferedInputStream in =
    new BufferedInputStream(new FileInputStream(filepathname));
        .....
} catch(Exception e) {     
    // 에러 체크 [파일 존재 유무 등]      
}

# ASP ▶

<%
    file = Request.Form ("file") // 파일 이름
    Response.ContentType = "application/unknown" // ContentType 선언
    Response.AddHeader "Content-Disposition","attachment; filename=" & file

    Set objStream = Server.Create Object("ADODB.Stream") // Stream 이용
    strFile = Server.MapPath("./upfiles/") & "₩" & file // 서버 절대경로
    strFname=Mid(Fname,InstrRev(file,"₩")+1) // 파일 이름 추출, ..₩ 등의 하위 경로 탐색은 제거됨
    strFPath = Server.MapPath("./upfiles/") & "₩" & strFname // 웹 서버의 파일 다운로드 절대 경로

    // 사용자가 다운 받는 파일과 웹 서버의 파일 다운로드 경로가 맞는지 비교
    If strFile = strFPath Then
        objStream.Open
        objStream.Type = 1
        objStream.LoadFromFile strFile
        download = objStream.Read
        Response.BinaryWrite download
    End If

    // 객체 초기화
    Set objstream = nothing 
%>

# PHP ▶

.....
// 디렉터리에 특수문자 체크
if (preg_match("/[^a-z0-9_-]/i",$up_dir))
    print "디렉터리에 특수문자 체크";
    exit;

// 파일 이름에 특수문자 체크        
if (preg_match("/[^\xA1-\xFEa-z0-9._-]|\.\./i",urldecode($dn_file_name)))
    print "파일이름에 특수문자 체크";
    exit;

// 파일 존재 여부 체크
$dn_path = "/var/www/data/$up_dir/$dn_file_name";
if (!file_exists($dn_path))
    print "파일이 존재여부 체크";
    exit;

// 파일 전송 루틴
header("Content-Type: doesn/matter");
header("Content-Length: ".filesize("$dn_path"));
header("Content-Disposition: filename=".$dn_file_name]);
header("Content-Transfer-Encoding: binary\r\n");
header("Pragma: no-cache");
header("Expires: 0");
.....

13. 시스템 정보 노출 🕹️ 3. 인젝션