인프런 커뮤니티 질문&답변

고광우님의 프로필 이미지
고광우

작성한 질문수

모의해킹 실무자가 알려주는, 파일 다운로드 취약점 공격 기법과 실무 사례 분석

33강 [실습4-1] 실무 사례 분석(1) 에 대한 질문이 사항이 있습니다.

해결된 질문

작성

·

187

2

안녕하세요. 크리핵티브 강사님

 

실습4-1 강의 진행 중에 오류 사항이 발생하여 질문 드리게 되었습니다.

 

[공유해주신 환경 구성 현황]

--> 현재 저는 공유해주신 자료(환경)를 C:\apache-tomcat-8.5.90-windows-x64\apache-tomcat-8.5.90\webapps\ROOT 폴더 아래에 압축을 해제 하였으며 강의 내용 대로 해당 디렉토리 이름을 practice로 변경 하였습니다.

 

--> 환경의 동작 자체는 문제가 없었습니다.

 

[문제상황]

--> 해당 다운로드 버튼을 클릭해서 동작 시키면

 

--> 다운로드 코드가 그대로 나옵니다.

 

--> burp suite에서 캡처를 해서 보면 그대로 다운로드 코드가 response로 오는 것을 알 수 있습니다.

--> 강의 내용대로

ㅇ filename=/Chrysanthemum.jpg

ㅇ filename=Chr/ysanthemum.jpg

ㅇ filename=%5cChrysanthemum.jpg

ㅇ filename=Chr%5cysanthemum.jpg

등등을 시도해도 동일하게 그냥 download 코드가 나오고 있습니다.

--> 그래서 강의 내용을 그대로 수행해도 filedownload 실습을 진행하기가 어렵습니다.

 

 

참고로 강사님이 공유해주신 이미지 파일 위치는 수정하지 않았습니다.

[실습 대상 이미지 파일 위치]

--> practice -> prob1-> upload 아래에 Chrysanthemum.jpg 파일 위치

 

--> 어느 부분에서 문제가 발생한 것 이며 어디를 수정해야 하는지 가르쳐 주시면 감사하겠습니다.

 

답변 1

1

크리핵티브님의 프로필 이미지
크리핵티브
지식공유자

안녕하세요.

해당 코드들은 php 언어 기반으로 작성된 코드이기 때문에 톰캣으로 돌리게 되면 컴파일이 되지 않습니다.

실무 사례 파트에서 환경 구축 부분을 참고해서 환경 구축을 해주시면 될 것 같습니다.

고광우님의 프로필 이미지
고광우
질문자

안녕하세요.
크리핵티브님 빠른 답변 주셔서 감사합니다.

 

그리고 추가로 궁금증이 발생하는 사항이 있어서 추가 질문을 아래 쪽에 작성하였습니다.

한 번 살펴 주십시요.

 

[문제해결 과정]

크리핵티브님이 알려주신 대로 톰캣이 아닌 apache 디렉터리에 practice 폴더를 놓아서 문제를 해결했습니다.

[Apache에 넣은 practice 디렉터리]

image

[download 버튼을 누르면 정상적으로 download가 되는 이미지]

image

그리고 강의내용에 있는 실습도 무사히 잘 해결 되었습니다.

 

[추가 질문]

image--> 이전에 제가 practice 폴더를 넣은 apache-tomact 디렉터리는 apache 웹 서버 기능은 없고 tomcat이라는 WAS 서버 기능만 있는 건지 궁금합니다.

아니면 따로 Apache 서버 기능을 지정해서 php 실습 파일도 실행 가능한지 알려주실 수 있는지 궁금합니다.

 

감사합니다.

고광우님의 프로필 이미지
고광우

작성한 질문수

질문하기