[취약점] File Inclusion 취약점: LFI (Local File Inclusion)

LFI(Local File Inclusion) 취약점이란?

LFI는 공격자가 웹 애플리케이션을 통해 서버의 파일을 불러오거나 실행할 수 있게 하는 보안 취약점이다.

 

이 취약점은 PHP와 같은 서버 측 스크립트 언어에서 발견되며, 애플리케이션의 입력 검증 부족으로 인해 발생한다.

주로 php 코드상에서 include() 사용 시 input에 대한 적절한 필터링이 이루어지지 않아 발생한다.

 

공격자는 이 취약점을 악용하여 웹 서버에서 민감한 정보를 읽거나, 로컬 스크립트를 실행하여 보안을 우회하고 시스템을 손상시킬 수 있다.

 

include($_GET['file'] . '.php');

 

위 코드는 사용자 입력($_GET['file'])을 검증하지 않고 파일을 include한다.

이때, 공격자가 URL을 조작하여 http://example.com/index.php?file=../../../../etc/passwd 와 같이 입력하면, 웹 애플리케이션은 /etc/passwd 파일의 내용을 포함하게 되어 시스템의 민감한 정보를 노출시킬 수 있다.

 

LFI 공격

다양한 php wrapper을 활용해 LFI 공격을 할 수 있다. 

https://www.php.net/manual/en/wrappers.php

• file:// — Accessing local filesystem
• http:// — Accessing HTTP(s) URLs
• ftp:// — Accessing FTP(s) URLs
• php:// — Accessing various I/O streams
• zlib:// — Compression Streams
• data:// — Data (RFC 2397)
• glob:// — Find pathnames matching pattern
• phar:// — PHP Archive
• ssh2:// — Secure Shell 2
• rar:// — RAR
• ogg:// — Audio streams
• expect:// — Process Interaction Streams

 

실제로 우리가 LFI 공격을 하면서 유용하게 사용할 수 있는 wrapper는 정해져있다.

• expect://
• php://filter/
• zip://

expect:// wrapper는 system command를 실행시켜준다. 

즉, expect://ls 를 하게 되면, ls 명령어가 실행되면서 디렉토리 목록을 보여주게 된다.

 

php://filter의 경우, 서버안의 파일들을 열람할 수 있게 해준다 (encode 또는 decode의 형태). 

즉, www.[웹사이트주소]/?file=php://filter/convert.base64-encode/resource=파일명을 활용하면, base64로 인코딩된 파일을 얻을 수 있다.

 

zip:// 의 경우, zip 파일의 압축을 풀고, 압축을 푼 파일안에 있는 코드를 실행시켜준다.