LFI, 파일 다운로드 조건
상위 디렉토리의 others 권한에 x(접근 권한)이 부여 되어있고
읽으려는 파일의 others 권한에 r(읽기 권한)이 있는 경우 가능하다.
Centos6.5에서 실습하였을 때, 부여되어 있는 기본 권한에 대해서 테스트 결과.
/etc/hosts 가능 (644)
/etc/passwd 가능(644)
/var/log/이하 로그파일 불가능(644) => Why?
others에 읽기 조건이 만족하는데 로그파일이 읽기에 실패하는 이유는 무엇일까?
리눅스 방화벽에 의한 차단 (selinux)
SElinux (방화벽)에 의해 로그파일 및 일부 시스템 파일을 읽으려 할 경우 차단 당하고 있었다.
Solution. 임시로 방화벽 On/Off
setenforce 0
setenforce 1
'모의해킹' 카테고리의 다른 글
| OHS(Oracle HTTP Server) ServerToken 제거 (0) | 2020.08.03 |
|---|---|
| cURL 명령어 정리 (0) | 2020.08.03 |
| httpd.conf 접근제어 order 순서 테스트 (0) | 2020.08.03 |
| [SPRING] web.xml 접근 취약점을 통한 정보 누출 (0) | 2020.08.03 |
| 아파치 톰캣 웹쉘 업로드 우회방안 (파일올리기) (0) | 2020.08.03 |