[과제] WH-WebEditor-SE2 웹해킹훈련장: 취약한 PHP 버전에서 원래 파일이름을 저장하는 웹에디터의 취약점을 이용한 시스템 침투

홈페이지 취약점 분석 이야기	파일 지도 사진 깨알

>> 목록보이기
#WH-WebEditor-02 #웹에디터 #Web Editor #스마트에디터 #SmartEditor2 #PHP 웹쉘 #파일업로드 취약점 #웹해킹 훈련장 #Live ISO #웹해킹 실습 #웹해킹 과제 #널문자삽입 #비ASCII문자 삽입 #Non-ASCII byte injection #A1-Injection

과제: WH-WebEditor-SE2 훈련장

[과제]

wh-webeditor-SE2.iso (28.7MB)

2016년 7월까지 배포된 네이버의 스마트에디터(SmartEditor2 Basic 2.8.2 및 그 이전 버전)는 기본 배포판에서 이미지를 원래이름으로 저장한다. 이러한 경우에는 PHP, ASP, JSP에 존재할 수 있는 널문자삽입(Null byte injection) 공격의 위험성이 있다. SmartEditor2에서는 널문자삽입을 기본적으로 방어하고 있다.

2016년 7월에 오래된 PHP 버전에서 경로명에 %80~%FF까지의 문자가 포함되면 PHP가 오작동하여 %00을 삽입하는 것과 동일한 효과가 있다는 것이 발견되었다. 대개 PHP 5.3.x 이전 버전에서 이러한 취약점이 존재한다.

[참고자료]

PHP의 Non-ASCII 문자 삽입 취약점 때문에 발생하는 SmartEditor2의 웹쉘 업로드 취약점

SmartEditor2 취약점 공략
WH-WebEditor-SE2 훈련장: 첫 화면

SmartEditor2 취약점 공략
WH-WebEditor-SE2 훈련장: HTML소스에서 네이버 스마트에디터 위치 파악

SmartEditor2 취약점 공략
WH-WebEditor-SE2 훈련장: SmartEditor2가 기본으로 제공하는 예제 페이지

SmartEditor2 취약점 공략
WH-WebEditor-SE2 훈련장: 정상적으로 이미지 올리기 - 기능 작동여부 파악

SmartEditor2 취약점 공략
WH-WebEditor-SE2 훈련장: 원래이름으로 이미지가 저장(kth2.JPg) - %00 삽입 가능?

SmartEditor2 취약점 공략
WH-WebEditor-SE2 훈련장: 이미지 이름에 널문자삽입 시도

SmartEditor2 취약점 공략
WH-WebEditor-SE2 훈련장: 널문자는 네이버 스마트에디터가 제거하고 있음(kth2.php.JPg)

SmartEditor2 취약점 공략
WH-WebEditor-SE2 훈련장: SmartEditor2의 알려진 취약점 검색

SmartEditor2 취약점 공략
WH-WebEditor-SE2 훈련장: Non-ASCII 문자 삽입(%80)

SmartEditor2 취약점 공략
WH-WebEditor-SE2 훈련장: Non-ASCII 문자에 의해 공격자가 원하는 확장자의 웹쉘 생성

행운을!!!

[처음 작성한 날: 2017.08.27] [마지막으로 고친 날: 2017.08.27]

< 이전 글 : [과제] WH-MissAuth-1 웹해킹훈련장: 접속자 권한인증 후 출력 제어 취약점 (2018.06.19)

> 다음 글 : [과제] WH-FILEDOWN-01 웹해킹훈련장: 파일다운로드로 서버침투 (2017.08.10)

이 저작물은 크리에이티브 커먼즈 저작자표시 4.0 국제 라이선스에 따라 이용할 수 있습니다.
잘못된 내용, 오탈자 및 기타 문의사항은 j1n5uk{at}daum.net으로 연락주시기 바랍니다.
문서의 시작으로 컴퓨터 깨알지식 웹핵 누리집 대문