🍀 4월 1주차 TWIL

🗯️ 주절주절 box 🗯️
이제 프로젝트 3주차가 끝나가는데... 프로젝트 주제가 3번째로 바뀌었다 💀
거의 주마다 바뀌는 듯...
처음에 주제 브레인스토밍 할 때 제대로 딥하게 하자는 교훈을 얻었다.
안 그러면 계속 마음에 안 든다.
처음에는 CTF/워게임 팀이니까 4주 동안 열리는 모든 CTF 대회에 참가하고 워게임을 제작해 보는 걸 목표로 했었는데, 나가려고 했던 대회들을 핵테온 세종 스터디에서 거의 다 참가하는 거 보고 계획을 1차 수정했다.
그렇게 2번째 프로젝트 주제는 바로 PoC 저장소 레포지토리 만들기! 근데 웹이랑 포너블을 각각 커버하려니 그것도 너무 힘들었다. 그래서 3번째 주제로 웹 PoC로 통일하고 취약점별 간단한 Flask 실습 환경과 도전 워게임 코드를 만들기로 했는데, 이것마저 범위가 방대하고... 학교 다니면서 만들기 빡세고... 뭔가 컨셉도 마음에 안 들고... 🤡
그래서 이번 주제는 진짜 진짜 마지막.
RCE 관련 취약점이 발생한 워드프레스 플러그인에 대해 분석해 보려 한다.
무려 2만 개 이상의 사이트에 피해를 준 영향력 있는 취약점이다.
패치 전 버전에서 PoC 테스트하고, 전후 비교하고, 취약점 유발한 코드 분석하고, WP의 다른 플러그인/프로젝트도 간단히 조사해서 이 패턴이 반복되는지 확인해 보는 것까지.. 일단은 목표로!!
동아리 발표가 5월 초니까, 동아리 휴동 전까지 최대한 해두고 남은 건 시험 끝나고 집중해서 끝내기로 팀원과 합의를 봤다.
전부 스불재다.

 

 

 

📍 프로젝트 계획서

Race Condition (CVE-2024-7627) Deep Dive & elFinder Vulnerability Landscape

or... WordPress Bit File Manager (CVE-2024-7627) Race Condition RCE 분석

 

1. 프로젝트 개요

• 목표: Race Condition 기반 RCE 취약점 분석 및 PoC 재구성, 패치 전/후 비교 및 실험 기반 심화 분석
• 취약점 상세: WordPress Bit File Manager 플러그인 (CVE-2024-7627)
• 팀 구성: 2인 팀 프로젝트

 

2. 프로젝트 배경

• 초기에는 SQLi, XSS 등 다양한 취약점을 다루는 방향이었으나, 단일 취약점 깊이 분석으로 전략 전환
• CVE-2024-7627 선택 이유:
  • Race Condition 기반으로 실험 다양화 및 분석 포인트 확보 가능
  • PoC 존재하지만 재구성/자동화/패치 분석을 통해 심화 연구 가능

 

3. 주요 활동 및 산출물

1) PoC 재구성 및 자동화

• 기존 공개 PoC 참고하여 Python 기반 PoC 직접 제작
• Race Condition 트리거 자동화 (멀티쓰레드/멀티프로세스 활용)
• 성공/실패 케이스 자동 로깅
• 산출물: Python PoC 스크립트, 자동화 스크립트

2) 패치 전/후 코드 비교 및 분석 (핵심)

• 패치 전/후 코드 비교 (temp 파일 처리 / atomic 조치 여부 / race window 변화)
• PoC 성공/실패 결과와 연계한 코드 레벨 분석
• 산출물: 코드 비교 표, 흐름도, 분석 노트

3) 실험 및 데이터화

• PoC 자동 실행 → 반복 실험
• 시나리오별 성공률 / 요청 간격 / 파일 크기 변화 따른 성공률 수집
• 산출물: 실험 로그, 표/그래프 (성공률 시각화)

4) 공격 흐름 다이어그램 제작

• 요청 흐름 → 취약 함수 호출 → race condition 발생 포인트 시각화
• 산출물: 공격 흐름도 (ppt, 이미지)

5) Race Condition 패턴 일반화 조사

• 유사 취약점 사례 조사 (다른 PHP CMS / 유사 플러그인 등)
• Race Condition 취약점 반복 패턴 분석
• 산출물: 사례 조사 보고서 (블로그 / 포트폴리오)

(추가?) 6) elFinder 라이브러리 기반 유사 취약점 조사

 

4. 종합 산출물 목록

산출물 종류	내용
코드	Python PoC, 자동화 스크립트, 패치 전/후 코드 분석
분석 노트	취약점 원인 분석, 패치 효과 분석
다이어그램	공격 흐름도, race 발생 지점 시각화
실험 로그	자동화 실행 결과, 성공률 데이터
조사 보고서	유사 취약점 사례
종합 보고서	프로젝트 요약, 실험 및 분석 결과, 개선 방안
포트폴리오용 요약	GitHub README / 발표 자료 (스토리텔링 버전)

 

5. 기대 효과

• 단일 PoC 프로젝트이지만, 심층 분석과 실험을 통해 풍부한 결과물 확보
• 코드 레벨 분석 및 실험 기반 데이터 확보
• 발표 및 포트폴리오에서 스토리 전달력 강화
• "PoC 재구성 → 자동화 → 패치 분석 → 실험 → 정리" 흐름