[SegFault] (SQLi Advanced) - SQL Injection Point3

[SegFault] (SQLi Advanced)

SQL Injection Point3

flag를 찾으세요!

문제 파악

위의 페이지에 들어가면 다음과 같은 창이 나온다.

우선 회원가입 진행 후 로그인을 시도한다.

사용한 계정 : gear / 1234

 

마이페이지를 확인해본 결과 노출되어 있는 파라미터가 존재하지 않아 게시판을 확인해본다.

 

SQL Injection Point

게시판에 글을 하나 작성한 후 검색에 대한 결과를 살펴보기로 한다.

검색창의 입력에 대한 파라미터를 확인해본 결과 option_val와 sort 라고 되어 있는 파라미터를 확인할 수 있다.

우선 sort 파라미터를 확인해보기 위해 살펴본다.

sort 파라미터에 대한 참/거짓 값을 넣어주는 결과 변하는 것이 없었다.

다음은 option_val 파라미터를  이용하여 참인 값과 거짓인 값에 대하여 확인해본다.

option_val = 1=1 and username

위와 같이 참인 값을 넣어주는 경우 검색에 대한 결과가 나온다.

option_val = 1=2 and username

반면 위와 같이 거짓인 값의 경우 검색에 대한 결과가 나오지 않는다.

이 결과를 바탕으로 SQL Injection이 가능하다고 판단된다.

---

풀이 과정 (해결 방안)

1. SQL Injection 가능 여부 판단

게시판의 검색 기능을 이용한 Union SQL Injection이 가능한 것을 확인하였다.

 

2. Column의 개수 파악하기

order by 절을 이용하여 존재하는 COLUMN의 개수를 확인한다.

option_val = username order by 1~10#

1~10까지는 검색의 결과가 나오지만 11부터는 검색에 대한 결과가 나오지 않는 것을 확인하였다. 이는 정렬 가능한 컬럼의 개수가 10개라는 의미로서 COLUMN의 개수가 10개라는 것을 알 수 있다.

 

3. 출력되는 Column의 위치 파악하기

1~10의 COLUMN중 출력되는 컬럼의 위치를 파악해야한다.

option_val = username union select 1,2,3,4,5,6,7,8,9,10#

그 결과 위와 같이 1~10의 COLUMN중 1~4의 컬럼이 출력되는 것을 확인할 수 있었다.

UserID | Title | Views | Date
     1      |    2   |     3    |    4 

 

공격 Format 설정하기

본 문제의 경우 1~10의 컬럼 중 1~4의 컬럼이 출력되고 있으므로, 그 중 아무 위치에나 원하는 SQL 구문을 삽입하면된다.

option_val=username select _____,2,3,4,5,6,7,8,9,10#

 

4. DB 이름 확인하기

DB의 이름이 sqli_8인 것을 확인하였다.

 

5. Table 이름 확인하기

본 문제의 경우 where 문이 먹히지 않는 문제가 있어 limit을 통해 확인하여 추출하기 위해 TABLE의 개수를 먼저 확인해 주었다.

총 64개의 Table이 존재하는 것을 확인하였고

MySQL에 기본적으로 존재하는 Table들 뒤에 있을 것이라고 생각하고 진행하였다.

 

6. Column 이름 확인하기

위와 동일한 방식으로 찾아 주었다.

 

7. Data 출력하기

위에서 확인한 바와 같이 flag_Table의 flagData 컬럼에서 데이터를 추출해본다.

절차에 따라 진행한 결과 위와 같이 원하는 flag를 획득할 수 있었다.

---

생각해볼 점

본 문제의 경우 order by, sort를 담당하는 파라미터가 Injection Point 였는데, 다른 문제들과는 달리 해당 구문에 삽입함에 있어 WHERE가 먹히지 않는 것을 볼 수 있었다.
이에 전제적인 개수를 파악하고 limit을 이용하여 찾아가면서 데이터를 추출할 수 있었다.

여러줄이 나오지 않는 경우나 위와 같이 특정 구문이 나오지 않는다고 문제를 해결하는데에는 지장이 없다는 사실을 깨달을 수 있었다.

---

질문 환영, 수정 및 보완에 대한 지적 환영