apache

Web Hacking Advanced

[dreamhack] Apache htaccess

개념정리Apache 서버에서 발생하는 파일업로드 취약점에 대해서 다루는 문제다. 기본 개념을 익히고 가보자. ○ .htaccess.htaccess는 hypertext access의 약자로, Apache 웹 서버의 디렉토리를 설정하는 기본 파일이다. 보통 웹사이트 root 디렉토리에 위치하며, 특정 디렉토리에 위치할 경우 해당 디렉토리 및 모든 하위 디렉토리에 설정에 대한 영향을 행사한다. .htaccess 파일을 사용하면 웹 서버 설정을 개별적으로 지정할 수 있기 때문에 공격자가 업로드할 수 있다면 웹 서버 설정을 건드릴 수 있는 위험한 취약점이다. ○ .htaccess 설정 정보URL 재작성: .htaccess 을 사용하면 URL을 재작성할 수 있다. 이를 통해 동적인 URL을 검색 엔진 최적화(SEO..

webhacking.kr

[webhacking.kr] old-28 (apache → .htaccess)

문제분석 & 풀이페이지에 접속하면 "upload/~/flag.php" 라는 파일이 존재하고 해당 파일을 읽는 것이 목표라고한다. 하이퍼링크로 지정된 해당 경로로 접속하면 아무 화면도 뜨지않는다. 아마도 php 코드로 작성된 flag를 읽는 것이 목표인듯 하다. 그렇다면 어떻게 해당 코드를 읽을 수 있을까? 마침 flag.php와 파일을 업로드 하는 경우 저장되는 경로가 upload/~ 라는 경로로 똑같은 경로임으로 .htaccess 파일을 업로드하는 것이 가능하다면 디렉토리에 대한 설정을 변경하여 flag.php 파일을 읽을 수 있을 것이다. 즉, apache 서버의 보안 설정이 미흡하다면 .htaccess 파일을 직접 업로드하여 upload/~ 디렉토리에 대한 설정을 바꿀 수 있다. ○ .htacces..

keyme
'apache' 태그의 글 목록
상단으로

티스토리툴바