PHP 임의 파일 업로드 취약점

취약점 세부정보:

이 취약점은 PHP에서 매우 일반적으로 사용되는 함수인 move_uploaded_files에 존재합니다. 개발자는 업로드된 파일을 이동할 때 항상 이 함수를 사용합니다. 업로드된 파일이 합법적인 파일인지 확인합니다. (HTTP 게시 메커니즘을 통해 업로드되는지 여부) 합법적인 파일인 경우 지정된 디렉터리에 배치되어야 합니다.

예:

move_uploaded_file ( string $filename , string $destination ) 여기서 문제는 파일 이름에 null 문자가 삽입될 수 있다는 것입니다(이 취약점은 이전에 여러 번 수정되었습니다. CVE-2006 -7243), 널 문자를 삽입함으로써 공격자가 임의 파일을 업로드하여 원격 코드 실행 취약점 등을 유발할 수 있습니다.

이 예를 시연하기 위해 DVWA를 사용하고 있습니다. DVWA의 최고 수준 질문은 여러 가지 이유로 통과하기 쉽지 않습니다. 이는 개발자에게 보다 안전한 파일 업로드 구성 요소를 개발하는 방법을 알려주기 위한 것입니다. 다음 예를 살펴보겠습니다.

코드 조각:

$uploaded_name = $_FILES['uploaded']['name'];
$uploaded_ext = substr($uploaded_name, strrpos($uploaded_name, '.') + 1); $uploaded_size = $_FILES['uploaded']['size'];
if (($uploaded_ext == "jpg" || $uploaded_ext == "JPG " || $uploaded_ext == "jpeg" || $uploaded_ext == "JPEG") && ($uploaded_size < 100000)){ if(!move_uploaded_file($_FILES['uploaded']['tmp_name'], $target_path )) {
$html .= '';
$html .= '이미지가 업로드되지 않았습니다.';
$html .= '' }
else {
$html .= $target_path . ' 업로드 성공!';
.
.

이 코드에는 XSCH, XSS 등 취약점이 많지만 RCE와 같은 심각한 취약점은 없습니다. PHP 5.3.1부터 null 문자 문제가 수정되었습니다. 여기서 문제는 DVWA가 사용자가 업로드한 name 매개변수를 move_upload_file() 함수에 전달하므로 php에서 수행되는 작업은 다음과 같을 수 있다는 것입니다.

move_uploaded_file($_FILES['name']['tmp_name '],"/file.phpx00.jpg"); 이렇게 하면 file.phpx00.jpg라는 파일이 생성되어야 하는데 실제로 생성된 파일은 file.php입니다.

이런 식으로 코드의 접미사 이름 확인을 우회하고 GD 라이브러리의 다른 많은 함수에도 이 문제가 있는 것으로 나타났습니다(예: getimagesize(), imagecreatefromjpeg().. .etc.), 이 예를 볼 수 있습니다.

컴퓨터의 PHP 버전이 5.4.39, 5.5.x – 5.5.23 또는 5.6.x – 5.6.7인 경우 x00 문자가 있는지 확인하여 이 문서에 설명된 문제를 해결할 수 있습니다. 파일 이름 문제.

보안 권장 사항 이 취약점이 컴퓨터에 존재하는 경우 사용자가 업로드한 name 매개 변수의 값을 사용하는 대신 임의의 문자열을 사용하여 파일 이름을 바꾸는 것이 좋습니다.