[Bee-box] SQL 인젝션 - Login Form/Hero

 이번 포스팅은 SQL인젝션  Login Form/Hero 방법 입니다.

SQL인젝션이 공격 개요도는 거의 비슷하지만 여러 종류가 있으니 잘 숙지하여 실습하도록 합시다~

 

실습하는 모든 공격은 실제로 사용하시면 안됩니다.

허용받지 않은 서비스 대상에 해킹을 시도하는 행동은 금지하며,

모든 법적 책임은 사용자에게 있는 것을 명심해주세요.

 

설명에 앞서, 앞으로 하는 SQL 인젝션의 일부 공격들은 대응방안을 따로 포스팅 하지 않을게요. 

대부분 같은 설명이기 때문에 생략하고, 다른 경우 기재하도록 하겠습니다.

 

---

난이도 하

 

 

SQL Login Form/Hero 를 선택!

 

sqli_3.php 페이지는 'hero'그룹에 속하는 사용자들이 로그인하면,

로그인한 사용자의 비밀번호 힌트를 출력하는 페이지이다.

 

 

 

 

먼저 아무거나 입력해봤더니, 잘못된 자격이라고 출력이 되었다.

 

 

 

login 폼에 '(작은따옴표) 를 입력하여 SQL 인젝션 취약점이 있는지를 파악해보았다. 

SQL 오류 메세지가 출력되었다. 즉 SQL 인젝션 취약점이  있다는 것이다. 

또한 mysql이라는 데이터베이스 서버 종류까지 알게 되었다.

 

(password 폼에 '을 입력해도 같은 결과가 나오지만, 둘다 '를 찍으면 잘못된 자격이라는 에러)

 

 

 

모든 결과를 참으로 만들어 주는 'or 1=1# 쿼리를 입력했더니 

SQL인젝션이 그냥 바로 성공되버렸다. (매우 취약한 페이지 같은 경우임)

 

'Neo'라는 사용자로 로그인이 성공하였고 뒤에는 해당 사용자의 비밀번호에 힌트를 알려주는 듯 하다.

 

이 페이지는 비밀번호를 입력하지 않아도 로그인이 되었는데, 이는 변수를 따로 입력받지 않고 AND연산자를 사용하여

한 줄로 데이터베이스의 아이디와 비밀번호를 출력하기 때문에 발생하는 취약점이다.

 

 

sqli_3.php 페이지 소스코드를 확인해보면

 

 

 

예상대로 쿼리 한 줄로 데이터베이스의 아이디, 비밀번호를 출력한다.

 

'login'변수에 쿼리를 주입하면 

 

 

 

이런식으로 되는데, 

쿼리를 실행할 때 AND 연산자가  OR 연산자보다 우선 순위가 높아서 AND를 먼저 수행하게 된다.

즉 뒤에 password먼저 수행 > 마지막으로 수행되는게 or 내가 쓴 쿼리이므로 내 쿼리가 먹힘

 

 

만일 'or 1=1#이라는 쿼리를 입력한다면,

OR연산은 항상 결과가 참이 되어 비밀번호를 입력하지 않아도 'heroes'테이블에 저장된 사용자로 로그인이 되는 것이다.

 

그러나 neo 이외에 사용자로도 로그인이 가능해야하는데, (막힐 위험 o)

그러려면 아이디를 알아야 한다.

 

 

 

putty로 table을 확인해본 결과 다른 이름은 'alice','thor', ... 등 있는데,

이 테이블을 볼 수 없다 가정하고 SQL인젝션을 통해 알아본다.

 

 

 

처음 컬럼 수를 맞춰야 union base SQL 인젝션이 가능하므로, 맞춰보았다. 1,2,3,4 쭉쭉 해나가면 됨.

 

 

 

컬럼 수가 4개일 때 출력이 되고,  확인해보니 2,4번 컬럼이 화면에서 보이도록 출력되는 컬럼이다.

 

이 컬럼을 이용하여 SQL쿼리를 만들어서 입력해본다.

 

 

 

 

위 메모장에 입력한 것처럼 여러 방식을 통해 사용자들의 아이디를 알 수 있고,

id = 3, login = thor, password = Asgard 등 사용자의 정보를 알 수 있었다.

 

SQL인젝션 성공

 

 

굳이 password를 입력하지 않아도

 

 

이와 같은 쿼리문을 이용해서 alice계정으로 로그인을 성공할 수 있다.

 

 

 

 

SQL인젝션의 대응방법은 위에 기재했듯이, 전에 올렸던 방법들과 유사하기 때문에 생략하도록 하겠습니다.

 

--> php 기본제공함수 "mysql_real_escape_string()" 사용