Game/Bee-box

[Bee-box] SQL 인젝션 - POST/Select

이번 포스팅은 SQL인젝션 POST/Select 입니다.

GET/select 방법과 유사하지만, 방식의 차이니 참고해주세요.

실습하는 모든 공격은 실제로 사용하시면 안됩니다.

허용받지 않은 서비스 대상에 해킹을 시도하는 행동은 금지하며,

모든 법적 책임은 사용자에게 있는 것을 명심해주세요.

난이도 하

SQL 인젝션 - POST/Select 방법으로 접속하기

방식은 SQL(GET/Select)방식과 매우 유사 하지만, 전송방식의 차이가 있습니당.

'sqli_13.php' 페이지도 드롭다운 메뉴를 사용하여 선택한 영화의 정보를 표로 보여주네요.

하지만! sqli_2.php와 다르게 'POST 메소드'를 사용하여 요청하기 때문에 URL상에 변수가 나타나지 않습니다.

그렇기 때문에 프락시 도구인 'burp suite'를 사용해서 SQL인젝션을 시도해볼께요.

아참 참고로 프록시 설정해주셔야 해요. ▼▼▼

기본적으로 requests는 설정이 체크 되어있지만, responses는 안됐어요!!

체크 필수!

Proxy > Options > Intercept Server Responses

버프스위트로 확인해봤더니! 드롭다운 메뉴의 변수명은 'movie' 입니다.

마찬가지로, 숫자형 값만 입력 받습니다.

movie 변수에 문자 값을 입력하면

오류메시지가 출력됩니다.

작은 따옴표를 입력하면, 아무리 결과를 항상 참으로 만드는 쿼리를 입력하여도 SQL구문 오류가 발생합니다.

또한 주석문자를 사용하여도 오류 메시지가 출력됩니다.

>> 0' or 1=1#

SQL인젝션 공격을 시도 하기 위해, 기존 쿼리와 결합하여 결과를 출력하는 UNION SELECT 구문을 사용해야 하며,

기존쿼리에서 사용하는 컬럼 수와 맞춰주어야 합니다.

버프 스위트로 movie변수에 조작한 SQL 구문을 입력할 때

실제 사용하는 변수를 넣으면 표에는 그 값에 해당하는 데이터가 나오기 때문에 사용하지 않는 숫자 값을 넣어야해요!

* movie 변수에 0을 입력시 > 1에해당하는 값이 출력됨

* 목록에 저장된 숫자 이상을 입력하면 아래와 같이 'No movies were found!'가 출력

다음은, 조작한 SQL구문을 넣어 DB정보를 출력해보겠습니다!

버프스위트를 통해 값을 넘겨주면!

정보가 출력됩니다.

대부분의 쿼리는 GET/Select방식과 유사하기 때문에 생략하겠습니다. 아래 GET방식 참고해주세요!

https://lucete1230-cyberpolice.tistory.com/84?category=851757

위처럼 쿼리를 지정하여 SQL인젝션하면, 데이터베이스의 테이블 스키마, 테이블명, 칼럼명이 출력 됩니다!

해결방안 또한 GET방식과 유사하기 때문에 생략할께요!

sqlmap사용하기

수동으로 확인할 수 있는 정보가 적기 때문에 'SQL 인젝션 자동화 도구'인 sqlmap을 사용하여

데이터베이스와 테이블 명을 알아본다.

(아래 주소참고 하시면 도움 될 것 같아서 올려봅니다)

https://webhack.dynu.net/?idx=20161107.003&print=friendly

SQL 인젝션 공격도구 sqlmap의 간단한 사용법

#웹취약점 분석도구 #sqlmap #SQL구문삽입 #SQL인젝션 #SQL Injection #DB유출 #관리자계정탈취 #PentesterLab #From SQL Injection to Shell 1 SQL구문삽입 분석도구 sqlmap 간단 사용법 sqlmap® sqlmap: automatic SQL injection and

webhack.dynu.net

먼저 칼리 리눅스에서 터미널을 접속 한다.

접속 후 apt-get install sqlmap으로 다운 받아준다.(있다면 바로 sqlmap실행)

** 주의 사항 **

1. -u 옵션에 자동화 공격을 시도할 페이지 주소 입력

2. POST 메소드를 사용하므로 --data 옵션을 이용하여 인젝션 시도할 변수를 명시

3. bWAPP는 로그인 후 사용 가능하기 때문에 --cookie 옵션으로 쿠키 값을 입력해야 함.

(쿠키 값은 버프스위트로 알 수 있음)

데이터 베이스를 알아낼 때 취약한 파라미터가 movie 뿐이므로 -p 옵션에서 SQL 인젝션을 시도할 변수를

movie로 지정한다. 또한 테이블명을 알아보기 위해 --DBs옵션 대신 --tables 옵션을 넣어 명령어를 입력한다.

sqlmap 사용 결과, 모든 데이터베이스의 테이블 명을 출력하지만,

우리가 봐야하는 것은 bWAPP이므로 이 테이블 명만 확인한다.

이중 유심히 봐야하는 건 users, movies 라고 추측할 수 있다.

위 명령어에서 tables를 columns로 바꾸어 주면 테이블에 컬럼을 확인할 수 있다.

명령어를 입력 하면 users 테이블에 컬럼을 확인 해볼 수 있다.

이중 사용자의 계정 정보가 있을 것 같은 컬럼을 추측하여, 정보를 조합한 후 수동으로 UNION SELECT구문을 입력한다.

테이브르은 users로 지정 후 SQL인젝션을 시도 할 수 있다.

쿼리 문 > 0 union select null,id,password,login,email,null,null from users

버프스위트로 조작한 쿼리를 Forward하면, 페이지에 사용자 계정 정보가 노출 된다.

SQL인젝션 성공

'Game > Bee-box' 카테고리의 다른 글

[Bee-box] SQL 인젝션 - Login Form/Hero (0)	2020.08.11
[Bee-box] SQL 인젝션 - AJAX/JSON/jQuery (0)	2020.08.09
[Bee-box] SQL 인젝션 - GET/Select (0)	2020.07.24
[Bee-box] SQL 인젝션 - POST/Search (0)	2020.07.24

Contents

새소식

인기 검색어

[Bee-box] SQL 인젝션 - POST/Select

SQL인젝션 성공

'Game > Bee-box' 카테고리의 다른 글

당신이 좋아할만한 콘텐츠

티스토리툴바