📓 Codegear_Archive

Archive for Dev. (junyup2)

지식을 채워가는 『개발자/화이트해커』를 목표로 정리하는 블로그

Wargame & CTF/SegFault

[SegFault] (SQLi Advanced) - SQL Injection Point1

Gearvirus(junyup2) 2023. 12. 14. 19:48

[SegFault] (SQLi Advanced)

SQL Injection Point1

SQL Linjection 으로 flag를 찾아내자!

문제 파악

위의 페이지에 들어가면 다음과 같은 창이 나온다.

우선 로그인을 해보기로 한다.

우선 이용을 위해 회원 가입을 해본다.

사용한 계정 : gear / 1234

이를 이용하여 로그인하여 살펴보기로 한다.

우선 마이페이지를 확인해보기로 한다.

SQL Injection Point 1

마이페이지에서 SQL Injection이 가능한지 확인하기 위해 Burp의 파라미터를 확인해본다.

마이페이지의 요청에서 쿠키(Cookie)를 살펴본 결과 user파라미터가 존재하는 것을 확인할 수 있었다.

해당 파라미터가 변조 가능한지 확인해본 결과 변조한 그대로의 값이 들어가는 것을 확인할 수 있었다.

해당 파라미터에 참인 값과 거짓인 값을 대입하여 차이를 확인해보기로 한다.

참 : 'and'1'='1
거짓 : 'and'1'='2

참인 값을 넣어준 결과 info 부분에 Nothing Here... 가 출력되지만, 거짓인 값을 넣어주는 경우 아무것도 나오지 않는 것을 확인할 수 있었다.

이를 통해 우선 마이페이지에서는 Blind SQL Injection이 가능한 것이 확인 되었다.

일단 다른 곳에서 다른 방식의 SQLi 이 가능한지 확인해보기로 한다.

다음으로 게시판을 살펴보기로 한다.

SQL Injection Point 2

게시판에 글을 하나 작성한 후 검색에 대한 결과를살펴보기로 한다.

검색창의 입력을 확인해본 결과 option_val 이라는 sort를 담당하는 파라미터를 확인할 수 있다.

이를 이용하여 참인 값과 거짓인 값에 대하여 확인해본다.

1=1 and username

위와 같이 참인 값을 넣어 주었을때는 글이 검색된다.

1=2 and username

위와 같이 거짓인 값의 경우 검색이 되지 않는다.

이 결과를 바탕으로 Union SQL Injection이 가능하다고 판단된다.

풀이 과정 (해결 과정)

1. SQL Injection 가능 여부 판단

마이페이지에서 Blind SQL Injection이 가능한 것을 확인하였고, 게시판에서는 Union SQL Injection이 가능한 것을 확인하였다.

해당 문제에서는 우선 Union SQLi를 이용하기로 한다.

2. Column 개수 파악하기

order by를 이용하여 존재하는 COLUMN의 개수를 확인한다.

option_val=username order by 1 ~ 10#

1~10까지는 검색 결과가 나오지만 11부터는 검색이 안되는 것을 확인하였다. 이는 정렬 가능한 컬럼의 개수가 10개라는 의미로서 COLUMN의 개수가 10개라는 것을 확인할 수 있다.

3. 출력되는 Column의 위치 파악하기

1~10의 COLUMN중 출력되는 컬럼의 위치를 파악해야한다.

option_val=username union select 1,2,3,4,5,6,7,8,9,10#

그 결과 위와 같이 1~10의 COLUMN중 1~4의 컬럼이 출력되는 것을 확인할 수 있었다.

UserID | Title | Views | Date
1 | 2 | 3 | 4

공격 Format 설정하기

본 문제의 경우 1~10의 컬럼 중 1~4의 컬럼이 출력되고 있으므로, 그 중 아무 위치에나 원하는 SQL 구문을 삽입하면 된다.

option_val=username select _____,2,3,4,5,6,7,8,9,10#

4. DB 이름 확인하기

어떤 TABLE과 COLUMN이 있는지 알아내기 위해 어떤 DB가 존재하는지 부터 확인해야한다.

DB의 이름이 sqli_6인 것을 확인하였다.

5. Table 이름 확인하기

6. Column 이름 확인하기

7. Data 출력하기

위와 같이 원하는 flag를 획득할 수 있었다.

생각해볼 점

본 문제의 경우 SQL Injection이 가능한 Point가 2개 존재하였다.
한가지 취약점이 발견되었다고 그곳에만 집중하는 것이 아니라 전체적으로 취약점을 확인하는 습관을 들여야 한다고 생각하게된다.

또한 python을 활용한 SQLi의 자동화에 대하여도 조금 더 공부해야겠다는 생각이 든다.
시간을 확실하게 줄여줄 수 있다는 점을 생각하자.

질문 환영, 수정 및 보완에 대한 지적 환영

저작자표시

현재글[SegFault] (SQLi Advanced) - SQL Injection Point1

티스토리툴바