[SegFault] (SQLi Advanced) - SQL Injection Point4

[SegFault] (SQLi Advanced)

SQL Injection Point4

flag를 찾으세요!

문제 파악

위의 페이지에 들어가면 다음과 같은 창이 나온다.

우선 회원가입 진행 후 로그인을 시도한다.

사용한 계정 : gear / 1234

마이페이지를 확인해본 결과 노출되어 있는 파라미터가 존재하지 않아 게시판을 확인해본다.

 

SQL Injection Point

게시판에 글을 하나 작성한 후 검색에 대한 결과를 살펴보기로 한다.

검색창의 입력에 대한 파라미터를 확인해본 결과 option_val이라는 sort 를 담당하는 파라미터를 확인할 수 있었다.

해당 파라미터에 대하여 참인 값과 거짓인 값을 넣어주어 차이를 확인해본다.

1=1 and username

위와 같이 참인 값을 넣어주는 경우 검색에 대한 결과가 나온다.

1=2 and username

반면 위와 같이 거짓인 값의 경우 검색에 대한 결과가 나오지 않는다.

이 결과를 바탕으로 SQL Injection이 가능하다고 판단된다.

---

풀이 과정 (해결 방안)

1.  SQL Injection 가능 여부 판단

게시판의 검색 기능을 이용한 Union SQL Injection이 가능한 것을 확인하였다.

 

2. Column의 개수 파악하기

order by 절을 이용하여 존재하는 COLUMN의 개수를 확인한다.

option_val = username order by 1~10#

1~10까지는 검색의 결과가 나오지만 11부터는 검색에 대한 결과가 나오지 않는 것을 확인하였다. 이는 정렬 가능한 컬럼의 개수가 10개라는  의미로서 COLUMN의 개수가 10개라는 것을 알 수 있다.

 

3. 출력되는 Column의 위치 파악하기

1~10의 COLUMN 중 출력되는 컬럼의 위치를 파악해야 한다.

option_val = username union select 1,2,3,4,5,6,7,8,9,10#

그 결과 위와 같이 1~10의 COLUMN중 1~4의 컬럼이 출력되는 것을 확인할 수 있었다.

UserID | Title | Views | Date
     1      |    2   |     3    |    4 

 

공격 Format 설정하기

본 문제의 경우 1~10의 컬럼 중 1~4의 컬럼이 출력되고 있으므로, 그 중 아무 위치에나 원하는 SQL 구문을 삽입하면된다.

option_val=username select _____,2,3,4,5,6,7,8,9,10#

 

4. DB 이름 확인하기

DB의 이름이 sqli_9인 것을 확인하였다.

 

5. Table 이름 확인하기

flagHere Table에 대하여 확인해보자.

 

6. Column 이름 확인하기

본 문제의 경우 WHERE 을 넣는 경우 동작하지 않았다. 그러므로 전체를 스캔하며 확인해봐야 한다.

끝부분 부터 확인해본 결과 생각한 위치에 생각한 Column이 존재하지 않았다.

앞부분 부터 limit을 통해 차례대로 스캔해보기로 한다.

중간 위치에 FLAG라는 이름의 COLUMN이 확인되었다.

(예상한 결과는 가장 뒷쪽에 flag 와 같이 소문자로 되어 있을 것이라고 생각했다. - 기존의 문제들이 그랬기 때문...)

 

7. Data 출력하기

위에서 확인된 FLAG COLUMN에 대하여 확인해본다.

위와 같이 절차에 따라 진행한 결과 원하는 flag를 획득할 수 있었다.

---

생각해볼 점

본 문제의 Column명과 같이 COLUMN의 위치와 이름이 생각한 것과 다를 수 있다.

특정 TABLE / COLUMN에 대하여 이런 위치에 있을 것이다. 이런 이름일 것이다. 라는 추측은 어느정도 하더라도, 내 추측이 맞지 않을 경우도 생각하여 전체적으로 스캔해봐야 한다는 생각도 할 수 있어야 한다.
(당황하지 않도록 하자.)

---

질문 환영, 수정 및 보완에 대한 지적 환영