PHP Code Injection
2020.03.25
PHP Code Injection 은 php 함수에 악의적인 코드를 삽입하여 정보 수집, 명령어 실행 등이 가능한 취약점이다. 코드 내에 eval() 함수를 이용하여 값을 받고 있을 때, 공격자가 입력한 php 함수들을 인식하여 원하는 함수를 실행할 수 있다. bee-box 환경에서 실습해보자! Level - low message 를 클릭하면 test 라는 내용이 출력된다. 위의 url 을 보면 message 라는 매개변수에 test 라는 값이 들어간 것을 볼 수 있다. 해당 페이지의 소스코드를 보자. message 의 입력값 부분에 php 함수를 입력해보았다. test 대신 phpinfo() 를 입력하고 요청한 결과, 함수가 정상적으로 동작하는 것을 볼 수 있다. php 에서 system 함수를 이용하..