DoTTak’s Blog

Home • 🪪 About • Posts • Categories • Tags

INTRODUCTION

안녕하세요, 김도원입니다.

저는 항상 다른 사람들의 블로그를 보면서 이 사람이 무엇을 배웠고 어떻게 성장했는지 경험에 대해 관심이 많았습니다.

그 이유는 다른 사람들의 경험을 통해 제가 어떤 방향으로 가야 할지 알게 되었고, 무엇보다 동기부여를 하면서 더욱더 성장할 수 있었기 때문인 것 같습니다.

이와 같은 경험을 저도 다른 사람들에게 공유하고 싶어 블로그를 시작하게 되었습니다. 비록 제가 아직 많이 부족하지만 오히려 이 블로그를 통해 제가 배우고 경험한 것들을 하나씩 기록하면서 저와 비슷한 다른 누군가에게 도움이 될 수 있는 그런 공간이 되었으면 좋겠습니다.

RECENTLY PUBLISHED

Component type

WordPress plugin

Component details

Component name Beam me up Scotty – Back to Top Button

Vulnerable version <= 1.0.23

Component slug beam-me-up-scotty

Component link https://wordpress.org/plugins/beam-me-up-scotty/

OWASP 2017: TOP 10

Vulnerability class A3: Injection

Vulnerability type Cross Site Scripting (XSS)

Pre-requisite

Administrator

[Stored XSS] CVE-2025-31864

Bug Bounty

CVE

WordPress

2025/04/03

Component type

WordPress plugin

Component details

Component name Newsletters

Vulnerable version <= 4.9.9.7

Component slug newsletters-lite

Component link https://wordpress.org/plugins/newsletters-lite/

OWASP 2017: TOP 10

Vulnerability class A3: Injection

Vulnerability type SQL Injection

Pre-requisite

Administrator

[SQL Injection] CVE-2025-30921

Bug Bounty

CVE

WordPress

2025/04/03

Introduction

이번 NOWRUZ 1404 CTF 대회는 FlagMotori 팀에서 주최한 Jeopardy 스타일의 CTF 대회입니다.

대회 소개를 보면 초보자도 쉽게 접근할 수 있고 사이버 보안을 재밌게 배울 수 있는데 초점을 맞추었다고 되어있는데, CTF 경험이 적은 저에게는 아주 매력적인 소개인 것 같습니다.

또한, 이번 대회에서 처음으로 플래그도 획득 했었는데, 비록 쉬운 문제이지만 팀 스코어에 조금이나마 기여할 수 있어서 오랫동안 기억에 남을 것 같습니다.

대회 소개를 좀 더 하자면, NOWRUZ 1404 CTF는 24시간(2025.03.15 ~ 2025.03.16)동안 진행되는 대회로, crypto, forensics, misc, OSINT, Pwn, Reverse, Web 총 7개의 카테고리 문제가 출제 되었으며, 저는 이 중 Web, OSINT 카테고리에서 문제를 풀었습니다.

이제부터 제가 풀었던 문제들의 풀이 과정을 정리해보겠습니다.

Challenge

Web

7seen

[FMCTF - Nowruz 1404] CTF 후기 및 Write-Up

CTF

Nowruz 1404

Web

OSINT

2025/03/21

Introduction

이번 1-Day 취약점 분석 대상은 Apache 재단에서 개발한 OFBiz 프레임워크 입니다.

해당 프레임워크에서 발생한 취약점을 분석하던 중 CVE-2024-47208 취약점은 아래 표(Vulnerability Context)로 정리된 이전에 발생한 여러 취약점들과 이어지는 내용이므로 연관성을 확인할 필요가 있습니다.

따라서, 이번 분석에서는 해당 취약점뿐만 아니라 이전에 발생한 취약점들에 대한 분석과 PoC를 함께 수행하며, 관련 취약점들의 패치가 어떻게 우회되었는지를 살펴보겠습니다.

Vulnerability Context

먼저, 취약점 분석 이전에 Apache OFBiz 프레임워크에 대해 알아보겠습니다. 참고로 본 보고서에서는 해당 프레임워크에 대한 자세한 설명보다는 취약점 분석에 필요한 사전 지식만을 정리하겠습니다.

Apache OFBiz 란?

Apache OFBiz는 오픈소스 ERP(Enterprise Resource Planning) 프레임워크로, 기업의 다양한 비즈니스 프로젝트를 통합하여 관리할 수 있도록 설계된 솔루션입니다.

해당 프레임워크는 기업의 다양한 비즈니스 프로세스를 통합하여 관리할 수 있도록 설계 되었으며, ERP 기능 뿐만 아니라 CRM(Customer Relationship Management), 전자상거래, 회계, 제조, 프로젝트 관리 등의 기능을 제공합니다.

주요 기능 및 특징

Apache OFBiz 1-Day 취약점 살펴보기: 개요 (1/7)

One-Day Analysis

Apache OFBiz

CVE

Web

2025/03/04

Introduction

Apache OFBiz에서 발생된 1-Day 취약점 중 먼저 살펴볼 취약점은 CVE-2024-32113 입니다. 해당 취약점은 OFBiz 버전 18.12.12 이하에서 발생하는 Path Traversal 취약점으로, OFBiz 프레임워크의 URL 요청에 대한 컨트롤러(Controller)와 뷰(View)의 처리 과정에서 발생하는 취약점 입니다.

Vulnerability Detail

Analysis

이 취약점은 Apache OFBiz 프레임워크의 버전 18.12.12 이하에서 발생하는 경로 조작(Path Traversal) 취약점입니다. 해당 취약점의 주요 원인은 OFBiz의 URI 요청 처리 과정에서 사용자 입력값에 대한 충분한 검증이 이루어지지 않아 발생합니다.

URI 처리 메커니즘

Apache OFBiz는 URI 요청을 처리하기 위해 컨트롤러(Controller)와 뷰(View) 매핑 메커니즘을 사용합니다. 이 메커니즘은 RequestHandler.java 에서 처리되며, 사용자가 요청한 URI 경로를 컨트롤러 매핑 파일에 정의된 뷰 템플릿으로 연결합니다.

예를 들어, /webtools/control/main/showDateTime URI로 요청을 수행할 경우 변수 path, requestUri, overrideViewUri 는 다음의 값이 셋팅 됩니다.

•

path /main/show/DateTime

Apache OFBiz 1-Day 취약점 살펴보기: CVE-2024-32113 (2/7)

One-Day Analysis

Apache OFBiz

CVE

Web

2025/03/04

Introduction

두 번째 취약점인 CVE-2024-36104 취약점은 이전에 분석한 과 동일한 Path Traversal 취약점 입니다. 해당 취약점은 CVE-2024-32113 이 패치된 이후, 보완된 버전인 Apache OFBiz 버전 18.12.13에서도 우회가 가능하여 새로운 취약점으로 분류되었습니다. 공격자는 특수문자 및 인코딩 기법을 이용하여 보안 제한을 우회하고 원격 코드 실행(RCE)이 가능합니다.

Vulnerability Detail

Analysis

패치 확인(18.12.12 18.12.13)

이전에 발생한 취약점 CVE-2024-32113 은 다음의 파일이 패치 되었습니다.

framework/webapp/src/main/java/org/apache/ofbiz/webapp/control/ControlFilter.java

https://github.com/apache/ofbiz-framework/compare/release18.12.12...release18.12.13#diff-ebc423ab3f878bfaf4d0cbbf5b1efa8f64706b199f8ae019609505d8c45ec654

Apache OFBiz 1-Day 취약점 살펴보기: CVE-2024-36104 (3/7)

One-Day Analysis

Apache OFBiz

CVE

Web

2025/03/04

Introduction

세 번째 취약점인 CVE-2024-38856은 이전에 발견된 CVE-2024-32113, CVE-2024-36104 취약점의 근본적인 원인에 대한 취약점입니다. 이전에 발견된 CVE-2024-32113, CVE-2024-36104 취약점은 공격 벡터가 된 URI를 기반으로 Path Traversal 취약점을 방어했지만, 사실 근본적인 취약점 원인에 대한 해결책은 아니었습니다.

이번 CVE-2024-38856 취약점은 NVD에서도 언급되었듯이 Incorrect Authorization 취약점으로, Apache OFBiz에서 인증되지 않은 엔드포인트를 통해 권한 검사 없이 화면 렌더링 코드 실행이 가능한 문제입니다. 그럼 이번 CVE-2024-38856 취약점 분석을 통해 근본적인 취약점 발생 원인을 분석해보겠습니다.

Vulnerability Detail

Analysis

먼저, 이전에 발생한 CVE-2024-32113와 CVE-2024-36104 취약점이 패치된 Apache OFBiz 18.12.14 버전에서 Path Traversal 공격을 어떻게 방어하고 있는지 살펴보고, 이 버전에서 발생한 CVE-2024-38856 취약점의 발생 원인을 분석해보겠습니다.

18.12.14 패치 기록

Apache OFBiz 18.12.14 이전 버전에서 발생한 Path Traversal 취약점은 공격 벡터가된 URI의 요청을 방어하기 위한 코드 로직이 추가되었습니다.

https://github.com/apache/ofbiz-framework/compare/release18.12.13...release18.12.14

Apache OFBiz 1-Day 취약점 살펴보기: CVE-2024-38856 (4/7)

One-Day Analysis

Apache OFBiz

CVE

Web

2025/03/04

Introduction

네 번째 취약점인 CVE-2024-45195 취약점에 대해 알아보겠습니다. 해당 취약점은 Apache OFBiz 버전 18.12.15 이하에서 발생되는 강제 브라우징(Forced Browsing) 취약점입니다.

이전에 발생한 세 가지 취약점(CVE-2024-32113, CVE-2024-36104, CVE-2204-38856)과 동일하게 URI 처리 메커니즘에서 컨트롤러(Controller)와 뷰(View)의 매핑 처리과정에서 발생하는 잘못된 인증 처리로 인해 발생됩니다.

즉, requestUri 와 overrideViewrUri 에 대한 구분된 처리로 인해 발생하는 취약점으로 아래 분석을 통해 상세히 살펴보겠습니다.

Vulnerability Detail

Analysis

해당 CVE-2024-45195 취약점에서는 ProgramExport 에 대한 접근이 불가능하기 때문에 인증 없이 접근 가능한 다른 엔드포인트를 찾아야 합니다.

ProgramExport.groovy 의 권한 검사 로직

Apache OFBiz 1-Day 취약점 살펴보기: CVE-2024-45195 (5/7)

One-Day Analysis

Apache OFBiz

CVE

Web

2025/03/04

Introduction

이번에 분석할 CVE-2024-45507 취약점은 이전에 분석한 CVE-2024-45195 취약점과 유사하지만 취약점을 일으키는 엔드포인트가 다릅니다. 이는 취약점을 발생시키는 Groovy 스크립트가 다르다는 것입니다.

CVE-2024-45507 취약점은 StatsSinceStart.groovy 스크립트를 이용하여 서버 측 요청 위조(SSRF)와 코드 인젝션 취약점을 발생시키는 문제를 가지고 있고, CVE-2024-45195 취약점은 ViewDataFile.groovy 스크립트를 이용한 강제 브라우징(Forced Browsing) 취약점입니다.

CVE-2024-45507 vs CVE-2024-45195

여기서 SSRF 취약점과 Forced Browsing 취약점의 큰 차이는 다음과 같습니다.

SSRF(Server-Side Request Forgery) vs Forced Browsing

•

SSRF(Server-Side Request Forgery) 취약점은 공격자가 서버를 통해 내부 네트워크나 다른 서비스에 요청을 보낼 수 있게 하는 취약점이며, 코드 인젝션은 악의적인 코드를 실행시킬 수 있게 합니다. 

•

Forced Browsing은 권한이 없는 사용자가 접근 제한된 파일이나 디렉토리에 직접 접근하는 취약점입니다.

즉, CVE-2204-45507 취약점의 경우 직접적으로 인증된 사용자로부터 URL을 입력받아 SSRF 취약점이 발생되지만, CVE-2204-45195 의 경우 비 인가된 사용자로부터 요청이 발생되므로 Forced Browsing 취약점으로 결정된 것입니다.

Apache OFBiz 1-Day 취약점 살펴보기: CVE-2024-45507 (6/7)

One-Day Analysis

Apache OFBiz

CVE

Web

2025/03/04

Introduction

이번에 분석할 CVE-2024-47208 취약점은 이전에 분석한 Apache OFBiz 1-Day 취약점 살펴보기: CVE-2024-45507 (6/7) 취약점의 미흡한 패치로 인해 발생된 취약점입니다. 해당 취약점은 이전 취약점과 동일하게 SSRF(Server-Side Request Forgery), Code Injection 취약점이 존재하며 이로인해 RCE(Remote Code Execution)가 가능한 취약점입니다.

이번 분석에서는 이전 패치에서 어떤 부분이 미흡했고, 어떻게 우회가 가능한지 살펴보겠습니다.

Vulnerability Detail

Analysis

먼저, 이전에 발생한 CVE-2024-45507 취약점의 패치기록을 살펴보고, 해당 패치를 어떻게 우회할 수 있는지를 살펴보겠습니다.

이전 취약점의 패치 분석

이전에 발생한 CVE-2024-45507 취약점은 외부에 존재하는 악의적인 XML 파일을 공격자가 전달할 수 있고, 이렇게 전달된 XML 파일이 뷰(View)로 로드되어, 해당 뷰에 정의된 Groovy 스크립트가 실행 됨으로써 RCE 취약점을 일으킬 수 있는 취약점입니다.

이때, 해당 취약점의 패치는 다음과 같습니다.

Apache OFBiz 1-Day 취약점 살펴보기: CVE-2024-47208 (7/7)

One-Day Analysis

Apache OFBiz

CVE

Web

2025/03/04

Analysis

1. 개요

CVE-2024-11613 취약점은 워드프레스 플러그인 WordPress File Upload 4.24.15 버전 이하에서 발생하는 RCE(Remote Code Execution) 취약점 입니다. 해당 취약점은 플러그인의 기능 중 파일 다운로드 기능에서 발생 되며, 사용자로 부터 입력받은 값에 대한 불충분한 이스케이프 처리로 인해 발생됩니다.

그 밖에, 처리 과정에서 부적절한 제어로 인해 임의 파일에 대한 읽기 및 삭제도 가능합니다.

2. 취약점 분석

해당 취약점은 Uploaded Files 대시보드 메뉴(/wp-admin/admin.php?page=wfu_uploaded_files)에서 파일을 다운로드 받을 때 발생합니다. 파일을 다운로드하면 아래와 같이 /wp-content/plugins/wp-file-upload/wfu_file_downloader.php 경로(이하, wfu_file_downloader.php)로 요청을 수행하며, 다운로드 받으려는 파일의 데이터를 응답 데이터로 가져옵니다.

이때, wfu_file_downloader.php 파일의 처리 로직에서 다음의 취약점이 발생합니다.

3. 임의 파일 삭제 취약점

파일을 다운로드하기 위해 wfu_file_downloader.php 를 요청하면, 다운로드 대상 파일의 정보를 변수 $downloader_data 에 초기화 합니다. 이때, 해당 변수의 데이터는 함수 wfu_read_downloader_data 의 호출 결과입니다.

wfu_read_downloader_data 함수 에서는 URL 파라미터 source 값을 가져와 임시 디렉터리(/tmp)와 결합합니다. 이후 결합된 임시 파일의 경로를 조회하여 파일이 존재할 경우 해당 임시 파일의 데이터를 변수 $dataenc 에 초기화 합니다.

[WordPress] CVE-2024-11613

One-Day Analysis

CVE

WordPress

2025/02/12

PHP 래퍼(php://filter)를 이용한 LFI2RCE

악성코드가 포함된 파일을 업로드하거나 로그 파일을 통해 PHP 코드를 입력하는 방식은 웹 서버의 파일 시스템에 직접적인 접근이 필요하다는 제약이 있습니다. 또한, 웹 서버의 보안 정책이나 설정에 따라 파일 시스템 접근이 제한되어 있을 수 있으며 로그 파일의 위치가 다르거나 접근 권한이 없는 경우도 많습니다.

하지만, PHP 래퍼(php://filter)를 활용하면 파일 시스템 접근 권한이나 로그 파일 위치와 같은 제약 사항에 구애받지 않고 공격을 수행할 수 있습니다.

php://filter 래퍼의 동작 방식

먼저 php://filter 를 이용한 LFI2RCE 공격 원리를 이해하기 위해 LFI 취약점이 발생하는 환경에서 php://filter 가 어떻게 동작 되는지 살펴보겠습니다.

PHP 코드 실행

php://filter 를 사용할 때, 필수 매개변수 resource 를 지정해야 합니다. 이는 필터링하려는 스트림(파일 경로 혹은 입력 스트림)을 지정하는 것인데, PHP 파일 경로를 지정할 경우 해당 PHP 파일이 불러와지고 해당 스트림이 include 에 의해 실행됩니다.

예를 들어, 웹 서버에 앞서 살펴본 LFI 취약점이 있는 index.php 와 load.php 가 존재합니다.

이 경우 load.php 파일을 index.php 의 include 함수를 이용하여 파일 경로를 직접 입력하지 않고 아래 php://filter 를 사용하여 불러오려면 다음과 같이 resource 매개변수에 load.php 경로를 지정하여 요청하면 됩니다.

PHP Wrapper, php://filter를 이용한 LFI2RCE 기법: PART 2

Web Security

Web

웹 보안

PHP

2025/02/10

Introduction

이번에 WordPress 플러그인 WordPress File Upload의 4.24.12 이하 버전에서 발생하는 원격 코드 실행(RCE, Remote Code Execution) 취약점(CVE-2024-11635) 분석을 진행했습니다.

해당 취약점을 분석하는 과정에서 Exploit을 수행하기 위해 PHP Wrapper 중 php://filter 스트림을 이용 했는데, 이를 활용한 LFI2RCE(Local File Inclusion to Remote Code Execution) 기법에 대해 자세히 알아보겠습니다.

PHP Wrapper 란?

PHP에서는 다양한 데이터 소스(파일, HTTP 요청, FTP 서버, 압축 파일 등)에 대한 일관된 접근 방식을 제공하기 위해 Stream Wrapper 라는 개념을 도입했습니다. 이 스트림 래퍼는 데이터 소스에 접근하기 위한 URL 스타일의 표기법을 사용하며, 프로토콜과 유사한 방식으로 리소스를 식별하고 처리합니다.

Wrapper 종류

Wrapper는 기본적으로 여러 가지 스트림 래퍼를 제공합니다. 해당 래퍼들을 보면 모두 URL 스타일 표기법을 사용하는 것을 볼 수 있으며, 각각의 래퍼는 특정 프로토콜을 나타내는 접두사와 그 뒤에 오는 리소스 경로로 구성되어 있습니다.

예를 들어, 로컬에 있는 파일을 읽을 때는 아래와 같이 사용합니다.

또한, HTTP 요청을 보낼 때는 다음과 같이 사용할 수 있습니다.

PHP Wrapper, php://filter를 이용한 LFI2RCE 기법: PART 1

Web Security

Web

웹 보안

PHP

2025/02/10

Analysis

1. 개요

WordPress File Upload 플러그인은 파일을 업로드하는 Short Code 폼을 제공하고 업로드된 파일을 관리할 수 있도록 도와주는 플러그인입니다. 이 플러그인의 4.24.12 버전 이하에서는 파일 다운로드를 요청할 때, 쿠키 wfu_ABSPATH 를 사용하며, 해당 값이 include 함수로 전달되어 RCE(Remote Code Execution) 취약점이 발생합니다.

2. 취약점 분석

WordPress File Upload 플러그인은 업로드 폼(단축코드, [wordpress_file_upload])을 이용하여 업로드된 파일 목록은 Uploaded Files 라는 대시보드 메뉴(/wp-admin/admin.php?page=wfu_uploaded_files)에서 확인하실 수 있습니다.

업로드된 파일은 다운로드 기능을 제공하며 Actions 탭의 다운로드 버튼을 클릭하면 됩니다.

위 다운로드 버튼을 클릭하면 HTTP 패킷 요청이 발생되며, 이후 /wp-content/plugins/wp-file/upload/wfu_file_downloader.php 를 요청하여 다운로드 하려는 파일의 데이터를 내려받게 됩니다.

/wp-content/plugins/wp-file/upload/wfu_file_download.php 파일은 요청 시 변수 초기화 과정 이후에 함수wfu_download_file 를 호출합니다.

함수 wfu_download_file 는 처리 과정에서 다시 wfu_update_download_statsu 함수를 호출하여 다운로드 상태를 저장합니다.

[WordPress] CVE-2024-11635

One-Day Analysis

CVE

WordPress

2025/02/10

Component type

WordPress plugin

Component details

Component name Payment Forms for Paystack

Vulnerable version <= 4.0.1

Component slug payment-forms-for-paystack

Component link https://wordpress.org/plugins/payment-forms-for-paystack/

OWASP 2017: TOP 10

Vulnerability class A3: Injection

Vulnerability type SQL Injection

Pre-requisite

Administrator

[SQL Injection] CVE-2025-22652

Bug Bounty

CVE

WordPress

2025/02/04

Component type

WordPress plugin

Component details

Component name Premium Packages – Sell Digital Products Securely

Vulnerable version <= 5.9.6

Component slug wpdm-premium-packages

Component link https://wordpress.org/plugins/wpdm-premium-packages/

OWASP 2017: TOP 10

Vulnerability class A3: Injection

Vulnerability type SQL Injection

Pre-requisite

Administrator

[SQL Injection] CVE-2025-24659

Bug Bounty

CVE

WordPress

2025/01/31

Component type

WordPress plugin

Component details

Component name Email Subscription Popup

Vulnerable version <= 1.2.23

Component slug email-subscribe

Component link https://wordpress.org/plugins/email-subscribe/

OWASP 2017: TOP 10

Vulnerability class A3: Injection

Vulnerability type SQL Injection

Pre-requisite

Unauthenticated

[SQL Injection] CVE-2025-24587

Bug Bounty

CVE

WordPress

2025/01/31

Analysis

1. 개요

CVE-2024-6695 취약점은 WordPress의 User Profile Builder – Beautiful User Registration Forms, User Profiles & User Role Editor 플러그인(이하, Profile Builder 플러그인)에서 발견된 인증 우회 취약점입니다. 이 취약점은 Profile Builder 플러그인이 회원가입 과정에서 이메일 유효성 검사 및 중복 이메일 검사를 제대로 수행하지 않아 발생합니다. 공격자가 기존 사용자의 이메일 주소를 알고 있다면 해당 계정으로 로그인할 수 있으며, 관리자 이메일을 알고 있는 경우에는 관리자 권한으로도 로그인이 가능합니다.

단, 해당 취약점을 이용하려면 Profile Builder 플러그인의 설정 중 Automatically Log In 설정을 활성화 해야합니다.

2. 취약점 분석

Profile Builder 플러그인에서 제공하는 회원가입 페이지는 다음과 같습니다. 해당 회원가입 페이지에서는 사용자명(Username), 이메일(E-mail), 비밀번호(Password), 비밀번호 확인(Repeat Password)을 입력하여 회원가입을 진행할 수 있습니다.

위 페이지에서 회원가입 요청이 발생하면 /wp-content/plugins/profile-builder/front-end/default-fields/email/email.php 파일의 wppb_check_email_value 함수를 통해 이메일 주소의 유효성과 중복 여부를 검사합니다.

중복 검사 과정에서는 유저 테이블($wpdb->users)을 조회하여 입력된 이메일($request_data['email'])이 기존 사용자의 이메일(user_email)과 일치하는지 확인합니다.(line 95 ~ 99)

이때, 중복 이메일 검사를 수행할 때 입력한 이메일($request_data['email'])에 공백이 포함된 경우, 기존에 존재하는 이메일과 정확히 일치하지 않아 중복 검사를 우회할 수 있게 됩니다.

또한, Profile Builder 플러그인의 Automatically Log In 옵션이 활성화된 경우 회원가입 이후 자동 로그인을 수행하는데 이는 /wp-content/plugins/profile-builder/front-end/class-formbuilder.php 파일의 wppb_log_in_user 함수 호출에 의해 동작합니다.

[WordPress] CVE-2024-6695

One-Day Analysis

CVE

WordPress

2025/01/23

Component type

WordPress plugin

Component details

Component name WooCommerce Advanced Bulk Edit Products, Orders, Coupons, Any WordPress Post Type – Smart Manager

Vulnerable version <= 8.50.0

Component slug smart-manager-for-wp-e-commerce

Component link https://wordpress.org/plugins/smart-manager-for-wp-e-commerce/

OWASP 2017: TOP 10

Vulnerability class A3: Injection

Vulnerability type SQL Injection

Pre-requisite

Administrator

[SQL Injection] CVE-2025-22710

Bug Bounty

CVE

WordPress

2025/01/16

Component type

WordPress plugin

Component details

Component name SEO Plugin by Squirrly SEO

Vulnerable version <= 12.4.01

Component slug squirrly-seo

Component link https://wordpress.org/plugins/squirrly-seo/

OWASP 2017: TOP 10

Vulnerability class A3: Injection

Vulnerability type SQL Injection

Pre-requisite

Contributor +

[SQL Injection] CVE-2025-22783

Bug Bounty

CVE

WordPress

2025/01/15

Analysis

1. 개요

CVE-2024-12848 취약점은 WordPress 플러그인 SKT Page Builder의 4.7 버전 이하에서 발견된 임의 파일 업로드 취약점입니다. 이 취약점은 SKT Page Builder 플러그인 대시보드의 'Manage Libraries' 메뉴에서 라이브러리 업로드 시 발생합니다.

취약점은 파일 업로드 처리 중 addLibraryByArchive 함수가 파일 확장자 필터링을 제대로 수행하지 않아 발생했습니다. 이로 인해 구독자(Subscriber) 이상의 권한을 가진 인증된 사용자가 웹 쉘과 같은 악성 파일을 업로드하여 원격 코드 실행을 수행할 수 있습니다.

2. 취약점 분석

취약점이 트리거되는 페이지는 SKT Builder 플러그인 대시보드의 ‘Manage Libraries’ 메뉴(/wp-admin/admin.php?page=sktbuilder-manage-libs) 입니다.

해당 메뉴에서 ‘Upload a SKT Builder library’를 선택하고 ‘Add Library’ 버튼을 클릭하여 파일을 업로드하면 /wp-content/plugins/skt-builder.4.7/sktbuilder.php 파일 내 Sktbuilder 클래스의 addNewLib 함수가 호출됩니다.

이후 해당 함수는 파일 업로드 처리를 위해 요청 받은 파일 데이터 $_FILES['lib_file'] 를 함수 addLibraryByArchive 의 인자로 전달하게 됩니다.

이어서 함수 addLibraryByArchive 는 전달받은 파일 데이터 $_FILES['lib_file'] 의 파일 확장자가 압축 파일(application/zip)인지 필터링을 수행하고 있습니다.

이후 해당 압축 파일을 unzip_file 함수를 이용하여 $upload_dir 경로에 압축 해제를 수행하고 있습니다. 이때, 압축 해제된 파일에 대한 파일 확장자 필터링이 존재하지 않아 압축 파일 내부에 PHP 웹 쉘과 같은 악성 파일을 포함시켜 업로드가 가능합니다.

[WordPress] CVE-2024-12848

One-Day Analysis

CVE

WordPress

2025/01/13

Challenge

Introduction

주어진 문제는 Kotlin으로 개발된 Spring 웹 애플리케이션이며, Docker로 배포되어 있습니다.

해당 웹 애플리케이션의 main() 함수는 WebwebhookhookApplication.kt 에 정의되어 있으며, 객체 State 의 arr 배열에 StateType 인스턴스를 추가하고 있습니다.

이어서 State 객체는 State.kt에 정의되어 있습니다. 이 객체는 StateType 클래스의 인스턴스들을 저장하는 배열 arr을 가지고 있습니다.

또한, StateType 클래스는 URL로 변환될 문자열 hook, 템플릿으로 사용될 template, 그리고 반환값으로 사용될 response 총 3개의 속성을 가집니다. 이 중 hook 속성은 URI.create(hook).toURL() 구문을 통해 입력된 문자열을 URL 객체로 변환하여 저장합니다.

마지막으로 웹 애플리케이션의 엔드포인트는 MainController.kt에 정의되어 있으며, 총 3개의 엔드포인트가 있습니다. 이 중 /webhook과 /create 엔드포인트는 모두 앞에서 확인한 State 객체를 참조하고 있습니다.

End-Point Analysis

주어진 문제 웹 애플리케이션의 각 엔드포인트는 다음과 같습니다.

[2025 Iris CTF - WEB] webwebhookhook 문제 풀이 및 설명

CTF

Iris CTF

Web

2025/01/12

Introduction

DNS Rebinding(DNS 리바인딩)은 보안 공격 기술 중 하나로, 공격자가 악의적인 DNS 서버를 통해 피해자의 웹 브라우저를 속여 내부 네트워크나 비공개 IP 주소로의 접근을 유도하는 방법입니다. 이를 통해 브라우저의 동일 출처 정책(SOP, Same Origin Policy)을 우회하고 내부 네트워크의 리소스에 무단으로 접근하여 데이터를 탈취하거나 조작할 수 있습니다.

How It Works

공격자는 자신이 소유하고 있는 도메인(e.g. attacker.com)의 DNS 레코드를 제어할 수 있습니다. 여기서는 도메인 주소에 대한 IP 주소(=호스트 주소) 즉, A 레코드에 1.1.1.1 이 설정되어 있습니다.

이후 피해자가 브라우저를 통해 URL attacker.com 에 접속하면, 해당 도메인의 IP 주소가 DNS 캐시에 없기 때문에 DNS 질의(A 레코드)가 발생합니다. 그러면 DNS Resolver 로부터 도메인 attacker.com 의 호스트 주소인 1.1.1.1 을 응답받게 됩니다.

참고로 IP 주소를 반환할 때 TTL(Time To Live) 값을 짧게 설정하여 DNS 캐시가 빨리 만료되도록 합니다. 그 이유는 DNS 캐시가 빨리 만료되어야 공격자가 원하는 시점에 DNS 응답을 다른 IP 주소(예: 내부 네트워크 주소)로 변경할 수 있기 때문입니다.

그 다음 피해자의 브라우저는 공격자 웹 서버(1.1.1.1)로 부터 악성 JavaScript 코드가 포함된 웹 페이지를 받게 됩니다. 이 JavaScript 코드는 피해자의 브라우저에서 실행 되며, 주기적으로 도메인을 재요청(Rebinding)하여 DNS Rebinding 공격을 수행하게 됩니다.

이후 피해자의 DNS 캐시가 만료되면 피해자의 시스템은 다시 공격자의 DNS Resolver 로 DNS 질의(A 레코드)를 수행하게 됩니다. 이때 공격자는 자신의 도메인(attacker.com)의 A 레코드에 대해 내부 네트워크 주소 192.0.0.1 을 반환합니다.

그 결과, 피해자의 브라우저는 공격자가 변경한 DNS 응답에 따라 동일한 도메인(attacker.com)을 통해 내부 네트워크 주소(192.0.0.1)에 연결되어 내부 시스템에 접근하게 됩니다. 브라우저의 동일 출처 정책(SOP)은 도메인 이름만을 검사하므로, IP 주소가 변경되더라도 같은 도메인(attacker.com)으로 인식되어 접근이 허용됩니다.