[Bee-box] SQL 인젝션 - GET/Search

안녕하세요 오랜만에 드디어 ㅠㅠ bee box글을 게시하네요..ㅠㅠ

오늘 실습할 공격은 SQL 인젝션으로

인젝션의 '꽃'이라고 할 수 있을만큼 중요한 공격이랍니다.

 

IT단골 이 공격. 매우 매우 매우 중요한 공격 중 하나죠 ㅎㅎ

자 그럼 오늘은 SQL 인젝션 'GET/Search' 부분을 실습해보고 전체적인

SQL인젝션의 개요도를 알아보도록 하겠습니당 ㅎㅎ

 

실습하는 모든 공격은 실제로 사용하시면 안됩니다.

허용받지 않은 서비스 대상에 해킹을 시도하는 행동은 금지하며,

모든 법적 책임은 사용자에게 있는 것을 명심해주세요.

 

---

 

먼저 시작 전 SQL인젝션의 정의와 공격 개요도를 알아보도록 할께요.

 

 

SQL 인젝션

SQL인젝션은 사용자가 입력한 값을 서버에서 검증하지 않고, 데이터베이스 쿼리 일부분으로 인식하여

데이터베이스 정보가 노출되거나 인증이 우회되는 취약점을 말한다.

SQL인젝션은 사용자가 데이터를 입력할 수 있는 곳 어디에서든 발생할 수 있고, 이를 통하여 공격자는

SQL쿼리를 변수에 입력하여 데이터베이스 정보를 획득하거나 시스템 내부를 파악 할 수 있다.

 

 

SQL인젝션 공격 흐름도

 

 

 

 

 

 

이제 공격을 실습해볼께요

 

난이도 하

 

 

 

 

 

 

bwapp 접속 후 sql 인젝션 GET/Search를 들어간다.

 

접속하면 나오는 페이지는 'sqli_1.php' 

이 페이지는 영화 제목을 검색하고 데이터베이스에서 조회한 결과를 보여주는 페이지이다.

 

검색란이 있으니  sql 인젝션이 가능한지 알아보기 위해 작은따옴표 (') 를 입력해준다.

 

 

 

 

 

 

입력 결과 아래에 에러 메세지가 떴다.

변수에 SQL인젝션 취약점이 존재하는 경우 SQL 오류 메세지를 출력한다.

 

작은 따옴표를 입력하는 이유는 데이터베이스에서 작은 따옴표로 문자데이터를 구분하기 떄문이다.

(데이터 베이스는 문자를 "" 가 아닌, '' 로 표현)

따라서 취약점이 존재할 때 작은따옴표를 입력하면 웹 서버에서 데이터베이스 서버에 질의하는

쿼리에 문법 오류가 생긴다.

 

 

 

 

 

구문 오류 에러가 떴고, 사용하는 디비는 'MySQL'이라고 정보를 출력하였다. 즉 에러 메세지는 데이터베이스

서버 정보를 포함한다.

 

다음으로 데이터베이스에서 사용하는 주석을 알아보기 위해 

' or 1=1 --

' or 1=1 # 

을 입력해보고 주석 문자를 찾는다.

( 위 쿼리는 ' 를 통해 앞에 문장을 닫아주고, or 1=1로 앞에 내용에 상관없이 결과를 항상 참으로 만드는 쿼리이다.)

 

 

 

 

 

둘중 bwapp는 #을 사용한다는 것을 알았다.

 

더 자세한 정보를 알아내기 위해

UNION SELECT 구문을 사용한다.

 

 

UNION 알아보기 ▼

SELECT문을 실행하면 데이터가 조회된다.

만약 이렇게 조회한 여러개의 SELECT문을 가지고 데이터를 가공하고 싶다면 집합연산자를 사용하면 된다.

집합연산자는 SELECT문 활용하여 조회한 데이터를 연산하는 연산자이다.

 

그중 UNION은 합집합을 나타내고 싶을 때 사용하는 집합 연산자 이다.

(더하기랑 비슷한 개념이라고 이해하셔도 됩니다.)

 

합집합은 중복되는 부분을 한번만. 출력 하는 방법인

 UNION 이 있고,

중복하는 부분과 관계없이 모든 데이터를 출력하는 (중복 제거 X)

UNION ALL 이 있다.

중복 데이터를 모두 조회하고 싶다면 이 방법을 사용하면 된다.

SELECT문을 실행하면 데이터가 조회된다.

만약 이렇게 조회한 여러개의 SELECT문을 가지고 데이터를 가공하고 싶다면 집합연산자를 사용하면 된다.

집합연산자는 SELECT문 활용하여 조회한 데이터를 연산하는 연산자이다.

 

그중 UNION은 합집합을 나타내고 싶을 때 사용하는 집합 연산자 이다.

(더하기랑 비슷한 개념이라고 이해하셔도 됩니다.)

 

합집합은 중복되는 부분을 한번만. 출력 하는 방법인

 UNION 이 있고,

중복하는 부분과 관계없이 모든 데이터를 출력하는 (중복 제거 X)

UNION ALL 이 있다.

중복 데이터를 모두 조회하고 싶다면 이 방법을 사용하면 된다.

 

UNION은 SELECT 문이 둘 이상일 때 이를 결합하여 두 질의의 결과를 하나로 반환한다.

 

본페이지 에서는 데이터베이스의 특정 내용을 출력하는 기존 쿼리가 있기 때문에

SQL인젝션으로 데이터베이스 내용을 파악하려면 둘이상에 SELECT 문을 결합하는 UNION 구문이 필요하다.

 

이렇게 UNION SELECT 구문을 이용하여  SQL인젝션을 시도하는 공격 유형을

'UNION Based SQL 인젝션' 이라고한다.

(그외에도 많은 SQL인젝션 유형이 존재하나, 그중 특히 중요한 것을 강조하여 설명하도록 할께요)

 

UNION 구문을 사용하려면 이전쿼리에서 사용하는 SELECT 문의 칼럼(Column) 수가 일치해야 한다.

 

* 칼럼 수 일치

* 데이터 형식 역시 각 열 단위로 같거나 서로 호환되는 데이터 형식이어야 한다.

 

이는 두 질의의 결과를 하나의 테이블로 합치기 때문이다.

칼럼을 하나만 추가할 경우 칼럼 수가 일치하지 않는다는 오류 메세지가 나타나고,

이 오류 메세지가 나오지 않을 때까지 칼럼 수를 늘려 페이지의 결과가 참이 되는지 확인해야 한다.

 

 

 

** UNION문을 성공 하기 위해선, 칼럼 수를 맞춰 성공 후 공격 시도를 해야 한다. **

 

 

 

 

 

 

칼럼 수가 다르면 위와 같은 에러가 뜹니다^_^.

 

 

 

 

 

 

 

갯수를 한두개씩 추가하다보면 결과가 참이 되는 경우가 생기는데요, 7개의 칼럼을 넣으니 결과 값이 출력 되네요.

(ALL 을 써준 이유는 중복을 허용하여 모든 결과를 확인하기 위함입니다.)

 

 

즉 sqli_1.php 페이지에서 호출하는 칼럼 수는 총 7개 이네요.

 

이제 공격을 시도해볼 수 있는데요.

 

페이지에 노출되는 칼럼은 2,3,4,5 번에 위치한 칼럼이기 때문에 

결과가 보이는 칼럼에 시스템 변수를 넣어주어, 정보를 탈취해보겠습니다.

 

 

 

SQL인젝션으로 데이터베이스의 정보를 파악할 수 있는 변수와 함수 ▼

 

database()  : 데이터베이스 명을 알려주는 함수

user() : 현재 사용자의 아이디

 

system_user() : 최고 권한 사용자의 아이디

 

@@version : 데이터베이스 서버의 버전 ( version() 도 사용가능합니다)

 

@@datadir : 데이터베이스 서버가 존재하는 디렉터리

database()  : 데이터베이스 명을 알려주는 함수

user() : 현재 사용자의 아이디

 

system_user() : 최고 권한 사용자의 아이디

 

@@version : 데이터베이스 서버의 버전 ( version() 도 사용가능합니다)

 

@@datadir : 데이터베이스 서버가 존재하는 디렉터리

 

0' union select all 1,version(),user(),database(),5,6,7# 

를 넣어준 결과! 아래와 같은 화면이 출력 되었습니다.

이로써 MySQL정보와 현재 사용자의 아이디, 그리고 현재 사용하고 있는 데이터베이스 이름이 출력되었네요.

 

 

 

 

 

 

이제 서버에 존재하는 모든 테이블 명을 출력해보려 합니다.

이때 이용할 스키마 명이 바로, information_schema 라는 스키마 인데요 

잠시 이 스키마에 대해 알아보고, 구조를 살펴보도록 하겠습니다.

 

글이 너무 길어질 것 같아서 아래 주소에 따로 정의해두도록 하겠습니다.

 

 

 

https://lucete1230-cyberpolice.tistory.com/81

 

위 주소에 information_schema와, 메타데이터의 정의, DataBase의 정의를 명시해두었으니,

참고해주세요~

 

 

 

이어서 설명드리겠습니다.

 

SQL인젝션 결과 데이터베이스 서버에 존재하는 모든 테이블 명을 출력 시키려면 아래 쿼리문을 입력한다.

 

 > 0'union select all 1,table_name,3,4,5,6,7 from information_schema.tables #

 

(0을 써주는 이유는 union select 문에서는 딱히 상관이 없는 걸로 알고는 있는데,

bwapp에서는 0을 안써주면  원하는 문장 외에 것도 함께 출력이 되길래 꼭 0을 함께 써주었습니다.)

 

위에서 말씀드린 것 처럼

 

 0을 쓰지않으면 아래와 같이 출력이 됩니다. 

서버에 존재하는 모든 테이블도 출력이 되지만, 앞에서 출력했던 검색 가능한 모든 영화 제목이 함께

출력되더군요

 

아래는 0을 써줬을 때 입니다. 딱 원하는 결과만 나오네요!

위에서 말씀드린 것 처럼

 

 0을 쓰지않으면 아래와 같이 출력이 됩니다. 

서버에 존재하는 모든 테이블도 출력이 되지만, 앞에서 출력했던 검색 가능한 모든 영화 제목이 함께

출력되더군요

 

아래는 0을 써줬을 때 입니다. 딱 원하는 결과만 나오네요!

 

서버에 존재하는 모든 테이블이 출력되었는데,

여기서 출력된 테이블 명 중 users 테이블에 사용자의 계정 정보가 들어있다고 추측을 할 수가 있습니다.

 

 

users만 따로보기

 

 

따라서 users 테이블의 칼럼명을 알아내기 위하여 where절로 users 테이블 정보만 출력하게끔

조건을 지정해 줍니다.

 

쿼리문 > 0' union select all 1,column_name,3,4,5,6,7 from information_schema.columns where table_name='users' #

 

(추측만으로 아닌 경우가 반드시 존재 할테니! 웬만하면 4단계를 거쳐 공격을 합니다.)

 

1단계 = Database 이름 알기 

2단계 = table 이름알기 

3단계 = column 이름알기 

4단계 = 데이터 가져오기 

1단계 = Database 이름 알기 

2단계 = table 이름알기 

3단계 = column 이름알기 

4단계 = 데이터 가져오기 

 

이렇게 쿼리문을 날리면 users테이블의 칼럼 명들을 출력 합니다.

 

 

 

 

 

칼럼명으로 id, login, password 등이 있는 것으로 보아 계정 정보와 관련이 있으므로

사용자 계정 정보가 들어있을 가능성이 크다는 것을 알 수 있죠

 

칼럼 내용을 확인하려면 페이지에 노출되는 칼럼 순서에 맞춰, 확인하고 싶은 칼럼명을 입력하면 됩니다.

 

현재 페이지에 노출되어있는 번호는 2,3,4,5 번으로 4가지씩 정보를 확인 할 수 있겠네요.

 

 

 

 

 

쿼리문 > 0' union select all 1,id,login,password,email,6,7 from users#

 

sql인젝션 결과

id칼럼 = 회원순서, login 칼럼 = 아이디, password칼럼 = 비밀번호 해시값 등.. 을 저장한 것을 알 수 있다.

 

페이지에 노출된 칼럼 수보다 확인하려는 칼럼 수가 많을 때 "concat" 함수를 사용하여 칼럼 명을 인자로

입력하면 여러 칼럼의 내용을 볼 수 있다.

 

 

 

 

 

 

쿼리문 > 0' union select all 1,concat(id,login),concat(password,email),4,5,6,7 from users#

 

 

 

쿼리문을 날리고, 원하는 정보가 노출되면

SQL인젝션 성공

 

 

 

실습 꿀팁 ▼

아 참고로 저는 테이블을 눈으로 직접 확인해 가면서 공격을 실습했습니다.

틀리게 출력되는 부분도 바로바로 눈으로 확인 가능하고, 테이블 구조도 한눈에 파악이 되서 훨씬

실습에 도움이 많이 되는 것 같아요! (putty를 이용한 원격 접속)

 

 

 

information_schema 구조와 bWAPP구조를 보면서 여러 방법으로 시도해볼 수 있어요!

 

 

느낌상 movies테이블 속에 있을 것 같쥬 ㅎㅎ

 

 

확인해가며 실습하면 더 기억에 오래 남는 것 같아유!

 

아 참고로 저는 테이블을 눈으로 직접 확인해 가면서 공격을 실습했습니다.

틀리게 출력되는 부분도 바로바로 눈으로 확인 가능하고, 테이블 구조도 한눈에 파악이 되서 훨씬

실습에 도움이 많이 되는 것 같아요! (putty를 이용한 원격 접속)

 

 

 

information_schema 구조와 bWAPP구조를 보면서 여러 방법으로 시도해볼 수 있어요!

 

 

느낌상 movies테이블 속에 있을 것 같쥬 ㅎㅎ

 

 

확인해가며 실습하면 더 기억에 오래 남는 것 같아유!

 

 

 

대응방안

 

작은따옴표를(') 입력 하였을 때 오류 메세지가 뜨는 것으로 부터 SQL인젝션에 취약하다고 할 수 있다.

즉 오류 메세지가 나오지 않으면 SQL인젝션이 불가능 하다.

 

sqli_1.php 소스코드를 살펴보면 아래와 같이

난이도 하 에서는 (case "0") 체크를 하지 않지만, 난이도 상 (case "2") 에서는 입력 데이터를

'sqli_check_2' 함수로 우회 하고 있는 것을 알 수 있다.

 

 

 

 

 

 

sqli_check_2 함수는 functions_external.php에 정의되어 있다.

정의되어 있는 위치를 확인해보면, 아래와 같이 코드가 짜여있다.

 

 

 

 

 

sqli_check_2는 "mysql_real_escape_string" 함수를 사용하여 입력한 데이터를 우회하고 있다.

 

mysql_real_escape_string ?

PHP에서 기본으로 제공하는 함수로, 사용자 입력 값에 SQL 문법에서 사용하는 특수 문자가 있을 경우

백슬래시를 붙여 입력 데이터를 SQL문법으로 인식하지 않도록 방어한다.

여기서 우회하는 문자는 'NULL, \n, \r, \, ', ", ^Z' 이므로 작음따옴표(')를 입력하면 백슬래시가 붙어 SQL쿼리로 인식하지 않는다.

 

 

즉 이 함수를 이용하여, SQL인젝션을 막을 수 있다.