[SegFault] (SQLi Advanced) - SQL Injection Point2

[SegFault] (SQLi Advanced)

SQL Injection Point2

falg를 찾으세요!

문제 파악

위의 페이지에 들어가면 다음과 같은 창이 나온다.

우선 회원가입 진행 후 로그인을 시도한다.

사용한 계정 : gear / 1234

 

마이페이지를 확인해본 결과 노출되어 있는 파라미터가 존재하지 않아 게시판을 확인해본다.

 

SQL Injection Point

게시판에 글을 하나 작성한 후 검색에 대한 결과를 살펴보기로 한다.

검색창의 입력에 대한 파라미터를 확인해본 결과 option_val이라는 sort를 담당하는 파라미터를 확인할 수 있다.

이를 이용하여 참인 값과 거짓인 값에 대하여 확인해본다.

1=1 and username

위와 같이 참인 값을 넣어주는 경우 검색 결과가 나온다.

1=2 and username

위와 같이 거짓인 값의 경우 검색에 대한 결과가 나오지 않는다.

이 결과를 바탕으로 SQL Injection이 가능하다고 판단된다.

위의 결과에 대하여 검색 기능의 예상되는 쿼리는 다음과 같다.

select {컬럼} where {option_val} = {board_result} 형식

---

풀이 과정 (해결 방안)

1. SQL Injection 가능 여부 판단

게시판의 검색기능을 이용한 Union SQL Injection이 가능한 것을 확인하였다.

 

2. Column의 개수 파악하기

order by를 이용하여 존재하는 COLUMN의 개수를 확인한다.

option_val=username order by 1 ~ 10#

1~10까지는 검색의 결과가 나오지만 11부터는 검색의 결과가 나오지 않는 것을 확인하였다. 이는 정렬 가능한 컬럼의 개수가 10개라는 의미로서 COLUMN의 개수가 10개라는 것을 알 수 있다.

 

3. 출력되는 Column의 위치 파악하기

1~10의 COLUMN중 출력되는 컬럼의 위치를 파악해야 한다.

option_val = username union select 1,2,3,4,5,6,7,8,9,10#

그 결과 위와 같이 1~10의 COLUMN중 1~4의 컬럼이 출력되는 것을 확인할 수 있었다.

UserID | Title | Views | Date 
    1      |    2   |     3    |    4 

 

공격 Format 설정하기

본 문제의 경우  1~10의 컬럼 중 1~4의 컬럼이 출력되고 있으므로, 그 중 아무 위치에나 원하는 SQL 구문을 삽입하면 된다.

option_val=username select _____,2,3,4,5,6,7,8,9,10#

 

4. DB 이름 확인하기

어떤 TABLE과 COLUMN이 있는지 알아내기 위해 어떤 DB가 존재하는지 부터 확인해야 한다.

DB의 이름이 sqli_7인 것을 확인하였다.

 

5. Table 이름 확인하기

 

6. Column 이름 확인하기

 

7. Data 출력하기

절차에 따라 진행하면 위와 같이 원하는 flag를 획득할 수 있다.

---

생각해볼 점

SQL Injection  Point 확인을 위한 sort 기능에서의 참/거짓 판단 방법

참 : case when (1=1) then username else title end
거짓 : case when (1=2) then username else title end

참 / 거짓에 대하여 정렬 방식을 바꾸도록 하여 정렬 방식에 따라 나오는 결과를 확인할 수 있다.
이를 확인한다면 이는 SQL Injection의 포인트가 될 수 있다.

---

질문 환영, 수정 및 보완에 대한 지적 환영