[SQL Injection 팁] 내가 추측한 메타정보(테이블명/칼럼명 등)이 맞는지 확인하는 방법

 

WHERE 절이 있고, 그 WHERE 절이 참이라는것이 가정되어있을 때, 그 WHERE절 뒤에 AND <코드>를 삽입하면 <코드>가 참일 때만 쿼리문이 작동한다. 

우리는 <코드> 부분이 참인지 거짓인지 검사하고 싶을 때 이 방법을 사용한다.

만약 쿼리문이 제대로 작동했다면 <코드>부분이 참이라는 뜻일 것이다. 

 

위 내용이 Blind Injection 공격의 흐름이다. 

공격을 행할 때 꼭 중요한 정보(ex: password 첫글자가 'm'인가? 이런거 말고) 간단한 정보(메타 정보)도 이와 같은 방식으로 알아낼 수 있다.

 

여기서 신기한 것은 어떤 정보가 존재하냐, 마느냐도 알아낼 수 있다는 것이다!! 그렇다면 존재성에 대한 쿼리는 어떻게 짜면 좋을까? 앞에 상수를 select 해주면된다. 이게 무슨 뜻일까?

 

 

---

 

예를 들어 'users' 라는 테이블이 진짜로 존재하는지 알고 싶다고 가정하자. (zzz는 올바른 정보라고 가정)

WHERE cookie='xyz' AND (SELECT '1' FROM users LIMIT 1)='1

 

 

이런 식으로 하면 괄호 안에 있는 SELECT문의 결과가 '1'이라는 문자열로 변환된다. (즉 SELECT의 결과가 항상 테이블로 나오는 것은 아니라는 뜻! 이런식으로 무언가와 비교할 수 있는 값이 나오면 이를 공격에도 이용할 수 있을듯?) 여기서 깨달을 수 있는 거는 SELCT의 결과가 '1'로 변환되기 때문에 '1'과 비교할 수 있다는 것이다.

 

 

참고로 LIMIT 1을 붙여주는 이유는 1 하나만 추출해야되기 때문이다. (LIMIT 1이 없으면 여러개가 출력되므로 '1과 비교할 수 없음)

아무튼 users 테이블이 존재한다면 AND 오른 쪽 쿼리는 1을 반환하겠지만, 만약 users 테이블이 없다면 1을 반환하지 않을 것이다. 

 

 

이처럼 WHERE 뒤가 참일 때만(위 경우는 FROM 뒤), 단순히 상수를 SELECT하면 상수가 출력된다는 것을 기억하자.
그리고 얘를 실제 상수 1이랑 비교하면 같을 테니까 이 방법을 이용해서 구하면된다.

 

이를 간단한 프로그래밍 언어로 비유하면 쉽게 이해할 수 있을 것 같다

if (username='admin' and len(password)>1):
	print data(admin)
    #위 조건이 참이면 1출력


if (username='admin' and len(password)>1):
	print 1
    #위 조건이 참이면 1출력

이런 느낌이 아닐까? 1이 조건식이랑 아무 상관 없어도 출력되는 것처럼!

 

 

아무튼.. 우리는 이 방법을 이용하여 다른 정보들도 확인할 수 있다. 그저 뒤에 확인하고 싶은 정보만 뒤에 쓰면 된다.

예제) users 테이블 안에 'admin'이라는 user가 존재하는가?

WHERE cookie='xyz' AND (SELECT 'a' FROM users WHERE user_name='admin')='a

예제) users 테이블 안에 'admin'이라는 user가 존재하는가?

WHERE cookie='xyz' AND (SELECT 'a' FROM users WHERE user_name='admin')='a

예제) admin의 password의 길이가 1보다 큰가?

WHERE cookie='xyz' AND (SELECT 'a' FROM users WHERE username='admin' AND LENGTH(password)>1)='a

바로 위의 예제는 LENGTH(password)=x 로 해서 x을 값을 intruder로 바꿔서 보내주면 길이를 빨리 찾을 수 있을 것이다.

 

암튼 그래서 느낀점은 블라인드 인젝션 공격은 어떤 정보를 쫘라락 보여주는게 아니기 때문에 뭔가 우리가 추측하고 싶은거? 참이라고 예상되는거?를 정해서 공격하는 것이다!!! 예를들어 information_schema의 칼럼들을 blind attack을 통해서 쫘라라락 가져올 수 없으므로 !!

 

 

정리

• SELECT 쿼리의 값이 테이블이 아닐수 있다 + SELECT 쿼리의 값을 비교할 수 있다
• FROM WHERE 절이 참이면 SELECT 상수를 했을 때 상수가 출력된다!!!!!!!!!! 
• SELECT 절 안에 SELECT 절이 들어갈 수 있다
• SELECT 뒤에 'a'등의 상수를 써주면 존재성도 검증할 수 있다.