Search

PHP

최근 게시물
Search

Introduction

해당 취약점을 분석하는 과정에서 Exploit을 수행하기 위해 PHP Wrapperphp://filter 스트림을 이용 했는데, 이를 활용한 LFI2RCE(Local File Inclusion to Remote Code Execution) 기법에 대해 자세히 알아보겠습니다.

PHP Wrapper 란?

PHP에서는 다양한 데이터 소스(파일, HTTP 요청, FTP 서버, 압축 파일 등)에 대한 일관된 접근 방식을 제공하기 위해 Stream Wrapper 라는 개념을 도입했습니다. 이 스트림 래퍼는 데이터 소스에 접근하기 위한 URL 스타일의 표기법을 사용하며, 프로토콜과 유사한 방식으로 리소스를 식별하고 처리합니다.

Wrapper 종류

Wrapper는 기본적으로 여러 가지 스트림 래퍼를 제공합니다. 해당 래퍼들을 보면 모두 URL 스타일 표기법을 사용하는 것을 볼 수 있으며, 각각의 래퍼는 특정 프로토콜을 나타내는 접두사와 그 뒤에 오는 리소스 경로로 구성되어 있습니다.
예를 들어, 로컬에 있는 파일을 읽을 때는 아래와 같이 사용합니다.
또한, HTTP 요청을 보낼 때는 다음과 같이 사용할 수 있습니다.
PHP Wrapper, php://filter를 이용한 LFI2RCE 기법: PART 1
Web Security
2025/02/10

PHP 래퍼(php://filter)를 이용한 LFI2RCE

악성코드가 포함된 파일을 업로드하거나 로그 파일을 통해 PHP 코드를 입력하는 방식은 웹 서버의 파일 시스템에 직접적인 접근이 필요하다는 제약이 있습니다. 또한, 웹 서버의 보안 정책이나 설정에 따라 파일 시스템 접근이 제한되어 있을 수 있으며 로그 파일의 위치가 다르거나 접근 권한이 없는 경우도 많습니다.
하지만, PHP 래퍼(php://filter)를 활용하면 파일 시스템 접근 권한이나 로그 파일 위치와 같은 제약 사항에 구애받지 않고 공격을 수행할 수 있습니다.

php://filter 래퍼의 동작 방식

먼저 php://filter 를 이용한 LFI2RCE 공격 원리를 이해하기 위해 LFI 취약점이 발생하는 환경에서 php://filter 가 어떻게 동작 되는지 살펴보겠습니다.

PHP 코드 실행

php://filter 를 사용할 때, 필수 매개변수 resource 를 지정해야 합니다. 이는 필터링하려는 스트림(파일 경로 혹은 입력 스트림)을 지정하는 것인데, PHP 파일 경로를 지정할 경우 해당 PHP 파일이 불러와지고 해당 스트림이 include 에 의해 실행됩니다.
예를 들어, 웹 서버에 앞서 살펴본 LFI 취약점이 있는 index.phpload.php 가 존재합니다.
이 경우 load.php 파일을 index.phpinclude 함수를 이용하여 파일 경로를 직접 입력하지 않고 아래 php://filter 를 사용하여 불러오려면 다음과 같이 resource 매개변수에 load.php 경로를 지정하여 요청하면 됩니다.
PHP Wrapper, php://filter를 이용한 LFI2RCE 기법: PART 2
Web Security
2025/02/10