[Bee-box] SQL 인젝션 - GET/Select

이번 포스팅은 SQL인젝션  GET/Select 입니다.

SQL인젝션이 공격 개요도는 거의 비슷하지만 여러 종류가 있으니 잘 숙지하여 실습하도록 합시다~

 

실습하는 모든 공격은 실제로 사용하시면 안됩니다.

허용받지 않은 서비스 대상에 해킹을 시도하는 행동은 금지하며,

모든 법적 책임은 사용자에게 있는 것을 명심해주세요.

 

---

난이도 하

 

 

 

GET/Select 를 실습해보도록 해요!

 

 

 

 

 

'sqli_2.php' 페이지는 드롭다운 메뉴를 사용하여 선택한 영화의 정보를 표로 보여주네요.

또한 GET 메소드를 사용하여 요청하기 때문에 URL상에 변수가 보입니다.

 

 

 

 

 

확인을 해보니 드롭다운 메뉴의 변수명은 'movie'이고 숫자형을 입력 값으로 받고 있습니다.

 

 

 

************ 짚고 넘어가기 ************

1. 숫자형만 입력하는 변수에 SQL인젝션을 시도할 때는 SQL구문만 필요합니다.

2. 작은 따옴표를 입력하면 SQL 구문 오류가 납니다.

3. 주석 문자는 #을 사용하긴 하지만, 주석을 사용하지 않아도 공격이 가능합니다.

 

 

URL에서 확인할 수 있는 movie 변수로 SQL인젝션을 시도하는데,

기존 쿼리와 결합하여 데이터베이스 정보를 출력하는 UNION SELECT 구문을 사용 해야한다.

 

이때 주의 할 것은 실제 사용하는 변수를 넣으면 페이지에는 그 값에 해당하는 데이터가 나오므로,

movie 변수에는 없는 데이터를 넣은 다음 SQL쿼리를 입력해야 한다. 

 

(ex : 0 union select 1,2,3,4,5,6,7 이런식으로 쿼리를 넣었는데 2에 해당하는 데이터가 있으면

그 데이터가 출력될 수 있으니, null로 넣어주어야 하는 것)

 

 

 

 

 

이렇게 URL에 조작한 SQL 쿼리를 입력해 주면

 

 

 

다음과 같이 출력되어, 데이터베이스의 정보를 알 수 있다.

 

테이블 명을 파악하기 위하여 SQL구문을 movie 변수에 삽입하고 information_schema로 데이터베이스에 있는 

테이블을 확인 해본다.

 

 

쿼리 결과 

테이블 명과 관련된 정보는 아래와 같이 하나만 나온다.

출력 값이 한 줄만 나오는 페이지라서 데이터 베이스의 첫 번째 테이블만 출력한다.

 

 

 

따라서 MYSQL 데이터베이스에 기본적으로 있는 'mysql'과 'information_schema'는 포함하지 않고

테이블 스키마, 테이블 명, 컬럼 명 을 확인하는 쿼리 구문을 입력해준다.

 

<< 쿼리 문 >>

0 union select null,table_schema,table_name,column_name,null,null,null from information_schema.columns where table_schema!='mysql' and table_schema!='information_schema'

 

 

 

인젝션 결과

mysql, information_schema를 제외하고 가장 상위에 있는 스키마 (bWAPP),

bWAPP 테이블 스키마에서 가장 상위에 있는 테이블 (blog)

blog 테이블에서 가장 상위에 있는 컬럼명 (id)  라는 정보를 획득 할 수 있다.

 

 

인젝션 성공

 

 

 

 

대응 방안

 

 

'난이도 하' 에서는 movie변수에 '작은 따옴표'나 'UNION SELECT' 구문을 입력하면,

아래와 같이 'SQL 구문 오류 메시지'가 출력되었다.

 

 

 

 

하지만 '난이도 상' 에서는 movie 변수에  '작은 따옴표'나 'UNION SELECT' 구문을 입력하여도

SQL 구문 오류 메시지가 아닌, 영화를 찾을 수 없다는 메시지가 출력된다.

 

즉 SQL인젝션이 통하지 않는 것이다. 

 

 

 

 

그리고 URL을 살펴보면 '난이도 하'와는 다르게 sqli_2.php 페이지가 아닌 "sqli_2-ps.php" 페이지이다.

 

 

 

Putty로 접속하여 코드를 살펴 보았더니

sqli_2-ps.php 페이지의 소스 코드에는 특별한 우회 함수를 사용하지 않고 SQL 쿼리를 호출한다.

 

 

sqli_2-ps.php코드

 

아래 코드도 확인해보자

 

 

sqli_13-ps.php코드

 

 

 

먼저, 데이터베이스에서 가져온 내용을 'fetch_object' 함수를 사용하여 객체로 생성하는 것을 알 수 있다. (아래사진참고)

 

** php fetch_object() 함수에 대한 설명이니, 아래 주소 참고해주세요 **

https://www.w3schools.com/php/func_mysqli_fetch_object.asp

 

 

 

 

 

 

(아래 사진의) 코드를 살펴보면 movie 변수에 입력한 숫자 값이 'id' 변수에 대입된다. 

id 변수는 'recordset'에 저장된 데이터베이스 내용의 순서 번호를 뜻하는데, 'bind_param' 함수를 사용하여

데이터베이스에서 사용하는 변수들을 불러오고 'execute' 함수로 쿼리를 실행한다.

 

그리고 나서 'bind_result' 함수로 각 변수를 연결하고 'store_result' 함수로 쿼리 결과를 저장하는 것이다. 

 

 

주석부분은 안보셔도 됩니다.

 

이렇게 sqli_2-ps.php 페이지는 데이터베이스에서 칼럼을 개별로 호출하고 연결하는 방식을 사용하여

SQL인젝션을 대응하는 것이다.

 

 

+ 참고 하실 분들은 아래 펼쳐서 확인해주세요. 

개인적으로 저는 bee-box 책을 보며 공부를 해도 대응방안 부분이 제대로 이해가 안되더라구요,

그래서 비슷한 느낌으로 이해했는데 100% 정답은 아닐 수 있으니 참고해주시고

다른내용이(오류) 있다면 댓글 남겨주세요!

 

저는 일단 위 대응방안을 PreparedStatement 와 비슷한 개념으로 이해했는데요,

 아래 주소로 개념을 이해해주시면 될 것 같습니다. 설명이 잘되어있어서요.

https://qastack.kr/programming/3271249/difference-between-statement-and-preparedstatement

 

 JAVA에서 사용되는 SQL을 실행할 수 있는 객체라고 생각 하시면 될 것 같은데, 

Statement 와 PreparedStatement 두가지가 보안적 측면과 속도 측면에서도 차이가 있더라고요,

 

Statement 보다 PreparedStatement를 사용하시는 것이 보안측면에서 sql인젝션을 막을 수 있어서, 더 강하다고 볼 수 있는데요.

SQL을 실행하는 객체라는 점에서 약간 비슷한 역할을 한다고 저는 이해했습니다.

 

 아래 주소를 마지막으로! 이해 하시는데 도움이 되셨으면 좋겠네요 ㅎㅎ

https://okky.kr/article/504647

 

 

 

 

 

 

 

다음 포스팅은 'Post/select'방식입니다.