ahhyun98 님의 블로그

이번 실습은 DVWA 환경에서 File Inclusion(파일 포함) 취약점의 Medium & High 보안 레벨에서의 동작 방식과 우회 기법을 다뤘다. 이전 실습에서는 단순히 LFI(Local File Inclusion)을 통해 내부 파일을 읽는데 초점을 맞췄다면, 이번에는 우회 필터링, file://프로토콜, 그리고 업로드된 악성 파일 실행까지 이어지는 고급 시나리오를 실습하였다. 1. File Inclusion 공격이란?File Inclusion 취약점은 웹 애플리케이션이 사용자 입력값을 기반으로 파일을 불러오는 과정에서 검증이 부족할 때 발생한다. 이로 인해 원하지 않는 내부 파일이 노출되거나, 공격자가 작성한 외부 악성 파일이 실행되는 보안 문제가 발생한다. LFI(Local File Inclu..

이번 실습은 DVWA 환경에서 File Inclusion(파일 포함) 취약점을 활용하여 시스템 내부 파일을 노출시키고, 리버스 쉘을 획득하는 공격 시나리오를 다뤘다. 단순히 민감한 파일 (ex- ../../../etc/passwd)을 여는 것이 아닌, 실제 시스템 장악까지 이어지는 자동화 실습이 핵심이었다. 1. File Inclusion이란? File Inclusion 취약점은 공격자가 서버에서 include() 또는 require() 함수 등으로 불러오는 파일 경로를 조작하여, 서버 내부 파일을 읽거나 원격 파일을 실행하게 하는 공격이다. 크게 두 가지로 나뉜다.LFI (Local File Inclusion) : 로컬 시스템의 파일을 읽는 방식 (../../../etc/passwd 등)RFI (Re..