yyyyss

File Upload Attack 웹 애플리케이션의 파일 업로드 기능을 악용하여 악성 파일을 서버에 업로드하는 공격 기법이다. 이 공격을 통해 공격자는 웹 서버에 악성 스크립트를 실행하거나 서버의 파일 시스템에 접근하는 등의 다양한 악의적인 행위를 할 수 있다. File Upload Attack 실습-실습 목표-파일 업로드 기능을 사용해서 web shell.php를 업로드하고 명령어를 실행시키자.실습 페이지에 접속을 하면 이렇게 이미지를 업로드하는 부분이 보인다. 일반적인 사용자라면 이미지를 업로드할테지만 공격자는 이번 실습처럼 이미지말고 다른 파일을 업로드하려고 할 수 있다. 한번 web shell.php 파일을 업로드해보자.이처럼 이미지파일이 아닌데도 업로드가 되었다. 업로드한 파일의 경로를 분석해보..

File Inclusion Attack주로 PHP 애플리케이션을 대상으로 발생하는 공격으로 include라는 함수를 사용해서 다른 파일을 소스코드에 직접 포함시켜서 실행시키는 공격 기법 include할 파일을 외부 사용자가 지정할 수 있으면 file inclusion 취약점이 존재한다. File inclusion attack은 공격자가 포함시킬 수 있는 파일이 호스트 내부인지 외부인지에 따라서 나눠진다.Local File Inclusion(LFI)Remote File Inclusion(RFI) File Inclusion Attack 실습-실습 목표-원격에 있는 파일을 include해서 그 파일의 내용을 RFI에 취약한 웹 환경에 실행시키자. 우선 다운로드해둔 bad.php 파일을 /var/www/html..