[Bee-box] XML/Xpath 인젝션

이번 포스팅은 XML/Xpath인젝션입니다.

 

실습하는 모든 공격은 실제로 사용하시면 안됩니다.

허용받지 않은 서비스 대상에 해킹을 시도하는 행동은 금지하며,

모든 법적 책임은 사용자에게 있는 것을 명심해주세요.

 

---

XML?

 

XML은 W3C에서 개발된, 다른 특수한 목적을 갖는 마크업 언어를 만드는데 사용하도록 권장하는 다목적 마크업 언어이다. XML은 SGML의 단순화된 부분집합으로, 다른 많은 종류의 데이터를 기술하는 데 사용할 수 있다. (위키백과)

 

 

* 텍스트 기반이며 간결한 데이터형이다.

* 웹에서 디스플레이 표준을 HTML로 한것처럼 데이터의 표준으로 만들기 위한 노력이 있음.

* 마크업언어(HTML)가 아니라 마크업언어를 정의하기 위한 언어이다.

* 자신의 어플리케이션에 적합하게 작성 가능 하다. 

 

아래 주소에 설명이 매우 잘되어있으니 참고해주세요. 

mommoo.tistory.com/17

 

아래 참고 ▼

XML은  데이터를 트리 구조의 노드로 표현하며 사용자 정의로 데이터를 분류한다.

다음 예시에서 최상위 노드는 'movies'고 하위 노드는 'action'이다. 

action의 하위노드에는 'id', 'name'이 있다.

---

<?xml version="1.0" encoding="UTF-8"?>

<movies>

      <action>

          <id>1</id>

          <name>haeun</name>

      </action>

---

이렇게 XML로 사용자는 다양한 데이터를 편의에 맞게 분류할 수 있다.

 

Xpath는 일종의 쿼리로, XML 데이터베이스 내용을 선택하고 조작하기 위하여 사용한다.

XML은 트리 구조로 정의되어 있어서 다음 예시처럼,

'/' 문자를 사용하여 최상위 노드부터 질의할 곳을 지정한다.

이외에도 Xpath에 사용하는 명령어는 다양하다.

---

$result = $xml->Xpath ("/movies/action[id='".$id."'and name='".$name."']");

---

XML과 Xpath인젝션은 XML구조에 악의적인 행위를 일으키는 내용을 삽입하거나,

Xpath를 조작하여 XML의 내용을 노출하는 취약점이다.

 

 

공격개요도는 SQL인젝션과 매우 비슷하지만,

xpath를 조작하여 xml의 내용을 노출한다는 점에서 조금 다르다.

 

---

 

난이도 하

 

 

Login Form 실습 시작.

 

 

 

이 페이지는 superhero 그룹의 사용자로 로그인하는 기능을 제공한다. 

superhero 그룹의 사용자 계정 정보는 XML 데이터베이스의 저장된다.

 

(mm.sookmyung.ac.kr/~sblim/lec/xml02/xml2-12a.htm -> xmlDB알아보기)

 

 

인젝션이 가능한지 확인해보려고 '(작은따옴표)를 입력했더니,

위와 같이 상단에 경고 표시와 함께 오류 구문이 출력되었다.

 

오류 메세지는 xml 관련 경고- - > xpath관련 오류이다.

 

 

xml은 노드들로 이루어져 있고, Xpath로 데이터를 호출한다.

 

Xpath에서 사용하는 명령어는 다음과 같다. 

슬래시와 노드명을 입력하면 (ex: /haeun) 해당 노드의 내용을 확인 할 수 있다.

 

 

 

현재 페이지는 로그인 페이지 이므로, 아이디와 비밀번호를 and연산으로 호출한다고 추측할 수 있다.

AND연산은 OR연산보다 우선하기 때문에 항상 or연산과 함께 참이 되는 커리를 입력하면 and연산 결과의

상관 없이 결과는 참이 된다.

 

1 and 1 == 참 or 참 ==결론 --> 참
1 and 2 == 거짓 or 참 == 결론 --> 참

 

 

 

'or 1=1 or ' 를 id에 입력하면 로그인에 성공한다.

(pw는 아무거나 넣어도되고 안넣어도 상관x)

 

즉 or 1=1이 참 이므로 이어지는 or문과 뒤에오는 어떤 것이 거짓이든, 참이든 여부에 상관없이

이 쿼리는 참이 되는 것이다.

 

neo 라는 사용자 이외에도 heroes 테이블에 저장된 사용자로 로그인 할 수가 있다.

 

다른 사용자로 로그인 해보기 위해 다음 쿼리를 사용해보자.

 

 

alice' or  'alice' = 'alice

 

 

alice로 로그인이 되었다.

neo를 제외한 나머지로 접속할 대는 or연산자에 1=1대신 문자를 입력해주어야 한다.

 

이유는 제일 처음에 있는 값인 neo는 전체 쿼리가 참인 쿼리를 날리면

한개의 이름만 출력하기 때문에 항상 위에 있어서 나오는 것이고,

 

나머지 이름 같은 경우, 알아볼 수 있게 이름을 지정해주어야 하기 때문이다. 

 

아래는 쿼리를 날린 후 url이다.

 

 

이 쿼리문이 이해가 안될 수도 있는데 아래처럼 생각하면 이해하기 쉽다.

 

---

원래 DB에는 

login= ' ' & pw= ' ' ....이런 형식으로 저장이 되어있을 것이다.

' ' 안에는 우리가 입력하는 값이 들어갈 것이다.

 

그럼 위와 같은 쿼리를 넣으면 어떻게 값이 들어갈까?

 

login='alice' or  'alice' = 'alice' & pw=....

 

파란색은 기본 쿼리, 빨간색은 내가 넣는 값이다.

 

login= alice라는 애로 할건데 or alice=alice ,

or 뒤 쿼리는 참이다. 앨리스는 앨리스 이기 때문에,

 

즉 이 모든 쿼리는 참이되어, login이 'alice'로 가능해진다.

---

 

결과적으론, alice로 로그인 하는 것을 성공.

xml인젝션 성공.

 

이어지는 글로 xml blind sql을 실습해보겠다.

글이 너무 길어지는 관계로 다음글로 이어나가겠다.