[기록일지] 📚 06주차 (💉SQL Injection

[기록일지] 📚 06주차 (💉SQL Injection - Data Extraction)

Gearvirus(junyup2) 2023. 11. 30. 23:53

SQL Injection Data Extraction

SQL Injection을 이용한 데이터 추출(Data Extraction)

데이터 추출(Data Extraction)

데이터 추출을 위한 사전확인

SQL 인젝션이 일어나는 곳

1. DB 데이터를 사용하는 곳인가?
2. 그 데이터가 화면에 나오는가? 안나오는가?
(DB에 있는 데이터가 웹 페이지에(화면에) 나오는 경우와 나오지 않는 경우가 있다.)
> 웹페이지에 데이터가 나오는 경우
ex) 게시판
> 나오지 않는 경우
ex) 로그인 기능, 아이디 중복 체크
(내용이 나오는 것이 아니고 있다 or 없다, 옳다 or 틀리다만 알려줌)

SQL Injection은 DB 데이터를 사용하는 곳에서는 잠재적으로 실행 가능하다.

그래서 우리는 어떻게 하면 원하는 데이터를 추출할 수 있을지에 대하여 생각해봐야 한다.

입력에 대한 요청으로 DB에서 정보를 꺼내와서 어떠한 형태로 그 값을 페이지에 보여준다는 것은, 이렇게 생각해 볼 수 있다.

데이터 추출의 방법

웹 페이지에 데이터가 나오는 경우에서 데이터를 추출하는 방법

이 웹 서버에서는 DB가 있고, 이 페이지를 만들기 위해서 DB에서 데이터를 가져와서 응답해 줬구나 !
이 SQL을 Injection한다면?
다른 사람의 아이디와 같은 우리가 얻고자 하는 정보(타인의 데이터)를 가져올 수 있겠구나 !

SQL Injection을 통해 Query를 주입하여 예기치 않는 정보까지도 화면에 출력 시킬 수 있다는 것이다.

만약!? 게시판에서! SQLi 취약점을 찾았다면?

SELECT * FROM board WHERE idx= '___' or '1'='1'

위의 Query를 통해서 봐도 페이지에 나오는 데이터는 글을 전체 가져온 것일 뿐 board 게시판에서 벗어나서 다른 테이블의 정보를 가져올 수는 없다.

하지만 우리가 알고 싶은것은 게시판의 정보가 아닌 다른 데이터들이고, 그 데이터들을 다른 테이블에 존재한다.

그렇다면 다른 테이블을 조회하기 위해서는 어떻게 해야할까?

이때 필요한 것이 'UNION'이다.

UNION을 사용하면 SELECT문을 한번 더 쓸 수 있게 된다. 이를 이용하면 된다.

UNION이란?

UNION은 두 개의 SELECT 문을 서로 연결시켜주는 역할을 한다.

SELECT COL_NAME FROM TABLE UNION SELECT COL_NAME FROM TABLE

위와 같이 앞 뒤의 SELECT 문을 합쳐주는 것이다.

그렇다면 저것이 다른 테이블을 조회하는 것과 무슨 상관이 있을까?

게시판에서는 이미 글을 조회하기 위한 SQL 구문이 존재한다.

아마도 아래와 같을 것이다.

SELECT * FROM board WHERE idx= '___'

그렇기에 위에서 SELECT문을 연결하듯이 입력값에 SELECT문을 삽입한다면?

두개의 SELECT문이 실행되게 되고, 우리가 입력한 뒤의 SELECT문에 의해 우리가 원하는 데이터에 접근할 수 있게 된다는 것이다.

UNION 사용을 위한 사전 확인

UNION을 사용하기 위해서는 유의할 점이 있다.
선행되는 SELECT문의 요청 컬럼의 개수를 알아야한다는 것이다.
그 이유는 UNION을 사용할 때에 UNION 앞뒤의 SELECT문의 (select ~~~) union (select ~~~) 컬럼 개수가 일치해야하기 때문이다.
(union이라는건 select를 2번 쓸 수 있는건데... 두 select의 컬럼의 개수는 같아야한다.)

그러면 앞뒤의 컬럼(COLUMN)의 개수만 일치하면 되니까 앞의 SELECT문을 건드릴 수 있는가?
NOPE ! 선행된 Query는 이미 정해져있기 때문에 조작할 수 없다. 따라서 삽입하는 SELECT문에서 선행된 SELECT문의 COLUMN개수를 맞춰줄 필요가 있다.

그러므로 우리는 선행된 SELECT 문에서 요청하는 COLUMN의 개수를 알아야한다는 것이다.

그렇다면? 어떻게하면 COLUMN의 개수를 알아낼 수 있을까?

ORDER BY 를 이용하면 된다.

ORDER BY란?

order by는 select문의 가장 뒤에 적어 주는 것을 원칙으로 하며 정렬의 역할을 수행한다.

SELECT * FROM TABLE_NAME ORDER BY [COLUMN_NAME]

위와 같이 (select ~~~) order by [column 이름]의 형태로 이용한다.

ORDER BY COLUMN_NAME DESC (default ASC)

기본적으로 order by는 오름차순(default 값이 ASC)으로 정렬 시킨다.

내림차순으로 정렬하려면 뒤에 DESC를 붙여주면 된다.

SELECT * FROM TABLE_NAME ORDER BY [IDX]

해당 컬럼(Column)의 인덱스(idx) 번호로도 정렬이 가능하다.

(첫번째 컬럼의 인덱스(index)는 0이 아닌 1임에 주의 !)

컬럼의 개수가 넘어가는 order by를 하는 경우 오류가 발생한다.

unkown 컬럼 (오류가 난 경우의 index -1이 column의 개수임을 알 수 있음)

우리는 이를 이용하여 컬럼의 개수를 알 수 있다.

UNION SQL Injection

UNION SQL Injection은 정해진 순서대로만 따라가면되는 Process가 존재한다.

(그저 무조건! 따라주기만 하면되는 것이다.)

UNION SQL Injection Process

1. SQL Injection 포인트 찾기
2. (컬럼을 맞춰줘야하므로) column 의 개수 찾기.
3. 출력되는 column 의 위치 찾기.
4. DB 이름 확인
5. Table 이름 확인
6. Column 이름 확인
7. Data 추출

[1] SQL Injection Point 찾기

SQL Injection 공격을 수행하기 위해서는, SQL Injection이 가능한지부터 확인해봐야 한다.

우선 보낸 데이터가 서버에서 어떻게 처리되는지 머리에 그려본다.

1. SELECT를 썼을 것이고, 내가 입력한 조건을 가지고 WHERE문을 썼겠구나.
2. 그러면 내가 넣은게 WHERE의 어느 부분에 들어가겠구나.
3. 문자열이라면 ' ' 안에 들어가겠구나
4. 부분만 입력해도 나오는 것을 보니 like를 썼겠구나.

# 부분만 입력해도 인식하는 경우 LIKE
select * from TABLE_NAME where name like '%(%' and '1%'='1)%';

%' and '1%'='1 를 입력해서 결과 값이 나온다는 것은 SQL Injection이 가능하다는 것이다.

[2] Column 개수 파악하기

UNION을 활용하기 위하여 컬럼(Column)의 개수를 확인해야 한다.

앞에서 보았듯이 ORDER BY를 이용한다.

%' order by 1 # -> 1 ~ (n-1)은 가능 n은 안된다면?

select * from TABLE_NAME where name like '%(%' and '1%'='1)%';

%' order by 1 # 부터 대입을 해본다.

%앞에는 아무것도 입력하지 않아도 됨
# 을 넣어주는 이유는 뒤의 %를 무력화 시키기 위함

숫자를 늘려나가다가 결과 값이 나오지 않는 경우 or 에러가 나는 경우

(해당 인덱스 -1 이 컬럼의 개수)

따라서 해당 SQL의 구조는 다음과 같이 바꿔서 생각할 수 있다.

select * -> select (col1, col2, col3, col4)

[3] 출력되는 Column의 위치 찾기 [마법의 쿼리~ !!]

ex) [2] 번 과정에서 컬럼(column)의 개수가 4개 였다면?

%' union select 1,2,3,4 #

위의 쿼리를 입력했을 때 페이지에 2,3,4 만 나왔다면?

'1번 컬럼은 출력되지 않았고, (2, 3, 4)번째 컬럼만 출력되었구나' 라는 것을 알 수 있다.

출력된 column의 순서를 알 수 있다.
해당 부분에 숫자를 넣은 이유는 그저 몇번째 인덱스의 컬럼이 출력되는지 보기 위함이다.
(다른 값을 넣어도 해당 인덱스의 위치에 해당 값이 잘 출력 됨)

그렇기 때문에 원하는 데이터를 출력할 때 2, 3, 4 의 위치 중에 골라서 넣어줘야 한다.

출력이 되고있는 부분에 넣어줘야 원하는 데이터를 출력하여 볼 수 있기 때문
(1번은 골라도 출력조차 되지 않는다.)

그럼 이제 어떻게 가져와야 할지는 알았다.

하지만! 어떤 DB가 있고, 어떤 TABLE이 있고, 어떤 COLUMN이 있는지 모른다...!!

[4] DB 이름 확인하기

우선 어떤 TABLE과 COLUMN을 알아내기 위해서는 어떤 DB가 존재하는지부터 알아야한다.

select database()

이것으로 존재하는 DB중에 현재의 DB를 조회할 수 있다.

존재하는 전체 DB를 조회하기 위해서는 다음과 같이 사용해야한다.

select schema_name from information_schema.schemaa

위와 같은 방식으로 어떤 DB들이 있는지 확인이 가능하다.

% 'union select 1,database(),3,4 #

[5] Table 이름 확인하기

어떤 DB가 있는지는 알아 냈으니 어떤 COLUMN이 있는지 확인을 하기위해서 어떤 TABLE이 있는지부터 확인해야 한다.

DB를 유지하기 위해서 테이블과, 컬럼의 정보를 저장하고 있는 DB가 따로 존재한다.

DB : information_schema
- DB에 대한 정보를 저장하는 DB
- meta data를 저장하고 있는 Data Base
- (데이터베이스 안의 데이터베이스)
그 안의 테이블(Table) : information_schema.tables
- 어떤 DB가 어떤 Table을 가지고 있는지의 정보

select table_name from information_schema.tables where table_schema = 'DB_NAME'

where table_schema = 'DB_NAME' 조건을 안주면 너무 많은 데이터가 나오게 된다.
그렇게 되면 뭐가 중요한 테이블인지 모르게된다.

%' union select 1,table_name,3,4 from information_schema.tables where table_schema = 'DB_NAME' #

위와 같은 방법으로 어떤 TABLE이 존재하는지 확인해 볼 수 있다.

하지만 위의 방법은 해당 DB의 Table을 전부 보여주게 되는데, 만약 최대 출력 개수보다 Table의 개수가 많다면?

전부 출력되지 못한다. 그래서 우선 테이블(Table)이 몇 개 존재하는지부터 확인하는 습관을 들이도록 하자!

방법은 다음과 같다.

' union select count(TABLE_NAME) from information_schema.tables #

위의 결과로 나온값은 테이블의 개수이다.

만약 특정 인덱스의 테이블이 알고 싶다면?

' union select table_name from information_schema.tables limit 1,1#

limit를 이용하여 하나의 테이블만을 불러올 수 있다.

limit (start index), number
앞의 숫자는 (시작)인덱스의 번호 (0부터 시작)
뒤의 숫자는 해당 인덱스로부터 몇개의 데이터를 가져올 것인지

참고 사항

(phpmyadmin에서 보면 기본적으로 생성되는 테이블이 61개)

00 : CHARACTER_SETS
01 : COLLATIONS
02 : COLLATION_CHARACTER_SET_APPLICABILITY
03 : COLUMNS
04 : COLUMN_PRIVILEGES
05 : ENGINES
06 : EVENTS
07 : FILES
08 : GLOBAL_STATUS
09 : GLOBAL_VARIABLES
10 : KEY_COLUMN_USAGE
11 : OPTIMIZER_TRACE
12 : PARAMETERS
13 : PARTITIONS
14 : PLUGINS
15 : PROCESSLIST
16 : PROFILING
17 : REFERENTIAL_CONSTRAINTS
18 : ROUTINES
19 : SCHEMATA
20 : SCHEMA_PRIVILEGES
21 : SESSION_STATUS
22 : SESSION_VARIABLES
23 : STATISTICS
24 : TABLES
25 : TABLESPACES
26 : TABLE_CONSTRAINTS
27 : TABLE_PRIVILEGES
28 : TRIGGERS
29 : USER_PRIVILEGES
30 : VIEWS 31 : INNODB_LOCKS
32 : INNODB_TRX
33 : INNODB_SYS_DATAFILES
34 : INNODB_FT_CONFIG
35 : INNODB_SYS_VIRTUAL
36 : INNODB_CMP
37 : INNODB_FT_BEING_DELETED
38 : INNODB_CMP_RESET
39 : INNODB_CMP_PER_INDEX
40 : INNODB_CMPMEM_RESET
41 : INNODB_FT_DELETED
42 : INNODB_BUFFER_PAGE_LRU
43 : INNODB_LOCK_WAITS
44 : INNODB_TEMP_TABLE_INFO
45 : INNODB_SYS_INDEXES
46 : INNODB_SYS_TABLES
47 : INNODB_SYS_FIELDS
48 : INNODB_CMP_PER_INDEX_RESET
49 : INNODB_BUFFER_PAGE
50 : INNODB_FT_DEFAULT_STOPWORD
51 : INNODB_FT_INDEX_TABLE
52 : INNODB_FT_INDEX_CACHE
53 : INNODB_SYS_TABLESPACES
54 : INNODB_METRICS
55 : INNODB_SYS_FOREIGN_COLS
56 : INNODB_CMPMEM
57 : INNODB_BUFFER_POOL_STATS
58 : INNODB_SYS_COLUMNS
59 : INNODB_SYS_FOREIGN
60 : INNODB_SYS_TABLESTATS

보통 새로 TABLE을 생성하는 경우 위의 TABLE들 뒤에 생성된다.

그러므로 개수를 알았다면 limit를 뒤에서부터 줄여가며 세어주는게 좋을 것으로 보인다.

[6] Column 이름 확인하기

위에서 어떤 DB, TABLE이 존재하는지 확인하였기 때문에 이제 어떤 Column이 존재하는지 알아낼 차례이다.

select column_name from information_schema.columns where table_name = 'table_name'

information_schema.columns

어떤 Column이 들어있는지에 대한 정보

' union select 1,count(column_name),3,4 from information_schema.columns where table_name = 'table_name' #

위와같이 이 또한 개수를 세주고 넘어가 버릇하자!

' union select 1,column_name,3,4 from information_schema.columns where table_name = 'table_name' #

이것으로 어떤 컬럼(Column)들이 있는지 까지 확인을 할 수 있다.

[7] 데이터 출력하기

이제 원하는 데이터를 추출하기 위한 준비가 끝났다.

ex) 원하는 데이터가 member 테이블의 id와 pw라면?

' union select 1,id,pass,4 from member #

위와 같은 방법으로 원하는 데이터를 추출하여 출력할 수 있다.

질문 환영, 수정 및 보완에 대한 지적 환영

저작자표시