[Bee-box] SQL 인젝션 - POST/Search

저번 포스팅에 했던 'GET/Search' 공격에 이어서

이번시간에는 'SQL injection (POST/Search)'을 해보겠습니다.

 

이번 공격은 sql get search와 개요가 매우 비슷하기 때문에 전에 설명했던 것들은 제외하고

어떤 부분이 다른지 그 부분에 초점을 두고 설명 드리겠습니다.

 

실습하는 모든 공격은 실제로 사용하시면 안됩니다.

허용받지 않은 서비스 대상에 해킹을 시도하는 행동은 금지하며,

모든 법적 책임은 사용자에게 있는 것을 명심해주세요.

---

 

 

난이도 하

 

 

 

 

 

난이도를 low로 설정 후 sql injection 시작~

 

 

 

 

 

보이는 화면은 Get 방식과 크게 다를게 없어 보이는데, 위에 URL을 확인해보니

 

 

 

 

이렇게 변수가 나타나지 않는군요, sqli_1 즉 Get방식으로 시도 했을때는 아래처럼 url에 변수가 표시 되었는데

post방식은 나타나지 않기 때문에 프락시 도구를 사용해서 공격을 해보도록 하겠습니다.

 

 

 

sql injection Get/search방식

 

 

*참고로 sqli_1.php 페이지와 마찬가지로 검색란에 사용되는 변수가 취약하므로 검색란에 SQL쿼리를 입력하면 

취약점 여부를 확인할 수 있습니다.

 

 

 

먼저 프락시 도구로 변수를 확인 후 SQL인젝션을 시도하도록 해볼께요!

 

프락시 도구는 버프스위트를 사용 할 것입니다.

 

 

 

 

버프 스위트 준비!

 

 

 

 

 

 

수동 프록시 설정도 켜주고 시작해볼께요~

 

 

 

 

 

 

일단 프록시를 키고 

bwapp에서 search를 눌러준 후 잡힌 모습인데요,

 

1. 빨간 네모 박스를 클릭하여, Request–response 설정을 체크 해주세요. (기본적으로 response는 체크 안됨)

2. 주황박스 intercept is on이 활성화 되어있는지 체크

3. 노란 박스는 Raw탭 내용에서 공격을 시도할 변수를 찾거나,

   HTTP 요청 헤더 밑에 실리는 body에서 변수를 찾을 때 실린 내용.

 

위에 3가지를 체크 해주신후 body에 실린 'title'과 'action' 변수 두개에 SQL인젝션 공격을 시도 해보겠습니다.

 

 

 

 

 

 

title 변수에 작은 따옴표를 입력하고 Forward 버튼을 클릭 해 봅니다.

 

 

 

 

 

이렇게 오류 메세지가 뜨네요.

즉 SQL인젝션이 가능하다는 의미 입니다.

 

action 변수에도 마찬가지로 작은따옴표를 입력해보니, 아무 메세지가 뜨지 않네요.

즉 SQL인젝션에 취약한 변수는 title입니다.

 

이제부터는 Get 방식과 마찬가지로 쿼리문을 입력해 주면 됩니다. 

방식이 Get/Post로 나뉠 뿐 SQL인젝션 방법은 동일 합니다.

 

 

단지 프록시 툴을 이용하여 body부분에 변수에 쿼리를 넣어줄 뿐이죠.

아래 처럼  컬럼 개수를 맞춰 주고 union문을 사용합니다.

 

 

 

 

 

 

페이지에 노출되는 칼럼은 2,3,4,5 번 이네요!

 

 

 

 

 

정보를 가져오는 과정은 GET방식과 쿼리가 동일하므로 뺐어요 ㅠㅠ.

아래 주소에 들어가셔서 참고해주세요!

 

https://lucete1230-cyberpolice.tistory.com/82

 

 

아래 쿼리문으로 사용자 정보를 예상하여 출력시켜 보았다.

 

 

이게 정확한 쿼리문입니다!

 

 

위와 같이 입력하여 forward해보면 

 

 

 

 

이렇게 결과가 출력되네요~

 

여기까지 알아낸 사용자의 계정정보로 2차 공격을 시도 할 수 있는데 

바로, 해시값으로 변화되어있는 비밀번호를 평문으로 변환시켜 사용자 계정을 탈취하는 것입니다.

 

평문으로 변환할 때 "존 더 리퍼(John the Ripper)" 도구를 사용해줍니다.

 

John the Ripper ?

 무료 암호 해독 소프트웨어 도구입니다. 원래 Unix 운영 체제 용으로 개발 된이 플랫폼은 15 개의 서로 다른 플랫폼 (11 개는 Unix, DOS , Win32 , BeOS 및 OpenVMS의 아키텍처 별 버전)에서 실행될 수 있습니다 . 여러 암호 크래커를 하나의 패키지로 결합하고 암호 해시 유형을 자동 감지 하며 사용자 정의 가능한 크래커를 포함 하므로 가장 많이 사용되는 암호 테스트 및 침입 프로그램 중 하나입니다.                                                                                                                                                                출처 : 구글 위키 백과

 

 

 

 

 

참고로 이 도구는 '정보보안 산업기사' 에서도 종종 본 도구 인데요,

패스워드 크래킹 툴로 알아두면 유용한 친구 인것 같아요!ㅎㅎ

 

 

 

 

 

 

 

존 더 리퍼를 사용하기 전에 다음과 같이 비밀번호 해시값이 저장될 텍스트 파일을 만들어 줍니다.

 

1. kali -> 터미널 접속

2. sudo su -> root권한

3. vi test.txt -> 'test' 텍스트 생성해서 비밀번호 값 넣기 

4. 저장하고 나가기

 

 

 

 

 

 

나와서 비밀번호 크랙을 시도 한다

* 존 더 리퍼를 사용할 때 포멧 옵션을 'sha1' 해시 함수로 설정하고 인자 값에는 해시 값이 저장된 텍스트 파일을 입력.

 

명령어 --> john --format:raw-sha1 /root/test.txt

 

입력하면 빨간 네모칸에 뜬 것 처럼 

해시값의 평문이 'bug' 인 것을 알 수 있다. (--show 옵션을 사용하면 더 간결하게 볼 수 있음)

 

비밀번호 크랙 성공

 

 

 

존 더 리퍼 외에도 해시 값을 크랙 할 수 있는 웹 사이트가 있다.

▼  ▼  ▼

https://crackstation.net/

 

해시값을 입력한 후에 자동화 방지를 위한 CAPTCHA를 입력하고 Crack Hashes를 클릭하면

해시 함수의 타입과 결과를 출력 해준다.

 

 

 

 

 

한국어로 해석되서 곤충인거고 bug가 맞습니다^_^

하여튼 크랙 성공!

 

 

 

대응방안 또한 GET방식과 일치하므로 생략하겠습니다.