728x90
이번 포스트에서는 DVWA의 File Upload 문제를 실습해보겠다.
## 공격 정의
- 웹사이트에서 파일 업로드 기능을 제공할 때 발생할 수 있는 보안 취약점
- 공격자는 이 기능을 이용하여 원하지 않는 파일을 업로드하고, 이를 통해 시스템을 해킹하거나, 악성 코드를 실행시키는 등의 악의적인 행위를 수행
## 공격 다이어그램
- 악의적인 공격자는 웹사이트에서 제공하는 파일 업로드 기능을 이용하여 악성 파일을 업로드
- 악성 파일은 서버에 저장되며, 공격자는 이 파일을 다운로드하거나, 실행시켜 시스템을 해킹하거나, 악성 코드를 실행시킬 수 있음
- 악의적인 공격자는 이를 통해 시스템에 침투하거나, 중요한 데이터 탈취 수행
## 실습
DVWA의 File Upload 항목을 선택하면 아래와 같은 이미지가 보인다.
우선 다음과 같이 올리고자 하는 web shell 코드를 하나 만들어보겠다.
Low 레벨의 File Upload 같은 경우에는 올리고자 하는 파일에 대해서 그 어떠한 검증도 진행하고 있지 않으니, 해당 파일을 바로 올리면 되겠다.
마지막으로 위 사진의 빨간박스(파일 경로)에 접속하여 올린 Web Shell 코드를 호출해보겠다.
Web Shell이 성공적으로 호출되고 작동한 것을 확인할 수 있다.
'Wargame > DVWA' 카테고리의 다른 글
| DVWA (SQL Injection) (0) | 2023.03.15 |
|---|---|
| DVWA (Insecure CAPTCHA) (0) | 2023.03.14 |
| DVWA (File Inclusion) (0) | 2023.03.12 |
| DVWA (Command Injection) (0) | 2023.03.11 |
| DVWA (Brute Force) (0) | 2023.03.10 |
