주제 : Webhacking Study - no more BLIND
날짜 : 2017.04.18
작성자 :Sakuya Izayoi


1. 개요 및 목적
Lord Of SQL injection(이하 LOS) 의 문제를 통해 blind SQL injeciton을 알고, 이외의 방법으로 풀수 있는 방안에 대해 연구한다. blind 기법으로 풀어야 할 문제들을 다른 방법으로 접근하는 것으로, CTF 및 모의해킹의 수행시간을 단축함을 그 목적으로 한다.

2. 내용
이번 문서의 시작은 정도원(rubiya)의 페이스북 포스팅에서 시작한다. 포스팅의 내용은, 'LOS의 문제중 간단한 Blind SQL injection 기법을 사용하는 문제가 있었는데, 이 문제를 Blind 기법을 사용하지 않고 풀 수 있다' 라는 내용이다. 






이에 순수한 학문적 호기심이 생겼고, 이 방법을 찾아 mysql의 삽질을 시작하기로 했다.
아래는 이 연구에 사용한 작업환경이다

Mysql : 5.6.30-0ubuntu0.15.10.1
OS      :  Ubuntu 16.04



우선 테스트용 db와 table을 만들어 보자.
해당 테스트에서 사용하는 DB와 구조는 아래와 같다

create database Test_DB;
use Test_DB;
create table users(num int not null, id varchar(30) not null, password varchar(30) not null, primary key(num));
insert into users values(1, 'GUEST', 'GUEST');
insert into users values(2, 'Sakuya', 'admin_Paddword');
insert into users values(3, 'Izayoi', 'noadmin');


목적은 Sakuya의 Password를 가져오는것으로 하도록 하자.  문서의 취지에 맞게 Blind SQL 구문을 사용해서 가져오는 것으로만 한정 하도록 한다.
기본적인 쿼리문의 형태는 


SELECT * FROM users WHERE id='GUEST' and password='{$INPUT}'

를 사용한다.

3. Blind SQL injection
Blind SQL injection은 원하는 정보를 한번에 가져오는 SQL injection과 다르게, 원하는 정보를 1 byte 씩 들고와서 비교하는 기법이다.
1byte씩 비교하기 때문에 분기조건을 가진 구문 혹은 분기로 판단되는 근거를 잡는것이 가장 중요하다. 아래 내용에서는 그러한 분기 구문들, 분기로 판단할수 있는 근거를 체크하는 방법에 대해 설명한다. 해당 구문이 필터링에 걸릴때와 같은 특수한 경우는 제외하고 일반적인 상황에 중점을 둔다. 필터링과 같은 상황에 사용할수 있는 Cheat sheet나 전반적인 SQL injection에 대한 지식은 rubiya의 문서를 참고하면 좋다. 또한 상기의 문서들은 이 문서를 이해하는데 큰 도움을 줄 것이다.

-3.1 IF
if구문은 프로그래밍을 해본 사람이라면 누구나 알고 있을법한 단어이다. if구문의 사용법은 이하와 같다

if(Condition, TRUE, FALSE)

if 의 1번째 인자값인 Condition은 분기조건에 해당한다. 단순한 대소 비교부터 참,거짓 등등 원하는 값을 넣을수 있다.
if 의 2번째 인자값인 TRUE는 Condition의 분기조건이 TRUE(참) 일때 리턴할 값이 들어간다. 이곳엔 단순한 value 부터 Subquery의 결과물까지 여러가지 들어갈 수 있다.
if 의 3번째 인자값인 FALSE는 TRUE와 반대로 분기조건이 FALSE(거짓)일때 리턴할 값이 들어간다. 들어갈수 있는 값은 위에 서술한 TRUE에 들어갈수 있는 종류와 같다.
좀더 자세한 IF 구문의 사용법은 Mysql Reference 측을 참고하도록 하자.

해당 IF와 자주 엮이는 2개의 함수가 있는데, ascii와 substring이다.

-substring
substring 함수는 문자열을 자르는데 사용되는 함수이다. split과 달리 delim 기준이 아닌 순수한 문자열의 index 기준이다. 함수의 모형은 이하와 같다

substring(STRING, start_idx, count_idx)

STRING을 start_idx부터 count_idx만큼의 갯수를 세어 리턴한다.
아래는 substring의 예시이다



Blind SQL에서는 보통 3번째 인자값이 1로 고정 되는데, 1byte씩 비교해야 하는 Blind 기법의 특성때문이다.

-ascii
ascii 함수는 C언어의 atoi와 같다. 해당함수의 ascii값을 리턴해 준다. 이 ascii 함수를 통해 substring으로 가져온 문자열을 ascii로 변환하는 것이 일반적인 Blind sql injection의 과정이다.


이제 Condition에 들어갈만한 substring과 ascii 함수를 알아보았다.
이를 조합하여 IF구문을 완성하면 아래와 같은 형태가 될 가능성이 높다

if ( ascii(substring(password,1,1))=0,1,0 )

모의해킹 및 CTF 환경에 따라 IF 구문의 2,3번째 인자값은 바뀔수 있다.
=0 으로 비교하는 부분의 값도 효율성을 위해 Binary Search 를 적용할 수 있다.

해당 구문을 사용하여 Sakuya 계정의 패스워드를 가져와 보도록 하자.



password의 첫 글자를 가져왔을때 해당 문자의 ascii 값이 97일때는 TRUE를, 96일때는 FALSE를 돌려주었다. 이것이 실제 php application에 적용되었을때는 Login 성공/실패 혹은 검색결과 출력/미출력 등의 화면을 보여주는 형태가 될 확률이 높다. 이러한 과정은 많은 시도횟수를 요구하므로 주로 간단한 스크립트를 작성하거나 SQLmap과 같이 알려진 툴을 사용할 때가 많다.

3-2 CASE WHEN
CASE WHEN의 경우에도 if와 같은 동작을 한다.
개략적인 형태는 아래와 같다

CASE WHEN condition1 THEN true ELSE false END
THEN ~ ELSE 사이에 더 많은 THEN 구문을 넣을수 있지만, 여기선 참/거짓만 판단하도록 하나의 THEN~ ELSE만 넣었다.
이 역시 IF와 마찬가지로 condition1 이 TRUE라면 true에 적힌 값을, FALSE라면 false의 값을 리턴하도록 되어있다.
이 역시 자세한 구문은 Mysql Reference를 참고 하도록 하자.

IF와 큰 다른점이 없으므로 사용 예시만 살펴보자.




3-3 row()
row()는 함수라기보다 말 그대로 하나의 row를 표현해준다.
sql 쿼리를 요청했을때 우리에게 보여지는 row의 개념과 동일하다고 생각하면 좋다.
다소의 이해를 돕기위해 아래의 예제를 보자



select 1,2 의 결과와 row(1,2)의 결과는 같다.
하지만 row(1,1)의 결과와 select 1,2의 결과는 다르다.
이것을 통해서도 blind sql injection을 수행할 수 있다.
내가 가져올 계정의 ID가 Sakuya 인것을 알수 있고, password를 모른다고 가정했을때 공격은 아래와 같이 천천히 진행된다



like 구문을 통한 blind sql과 비슷한 양상이라고 생각하면 쉽다.
0x61????????? 값은 Sakuya 계정의 password 형식과 일치하지만
0x62???????? 값은 Sakuya 계정의 password와 일치하지 않고, 이 값은 사전적으로 admin_Paddword보다 뒤에 있으므로 True를 리턴하게 된 결과다.
해당 쿼리를 사용하며 주의할 점은 where 구문 대신 limit를 넣어야 한다는 점이다.
where구문을 통해 결과값을 돌려받기 전 컴파일 단계에서 row와 select의 결과를 미리 비교해 버려서 어떤값을 넣더라도 항상 참이 뜨는 경우를 볼 수 있다.




상기 기술한 내용 이외에도 많은 기법들이 있을수 있다. 하지만 이정도만 따라 올수 있어도 일반적인 Blind SQL injection은 잘 할수 있으리라 생각한다.

4. LOS - orge
해당 문제의 소스코드를 보도록 하자.


<?php 
  
include "./config.php"
  
login_chk(); 
  
dbconnect(); 
  if(
preg_match('/prob|_|\.|\(\)/i'$_GET[pw])) exit("No Hack ~_~"); 
  if(
preg_match('/or|and/i'$_GET[pw])) exit("HeHe"); 
  
$query "select id from prob_orge where id='guest' and pw='{$_GET[pw]}'"
  echo 
"<hr>query : <strong>{$query}</strong><hr><br>"
  
$result = @mysql_fetch_array(mysql_query($query)); 
  if(
$result['id']) echo "<h2>Hello {$result[id]}</h2>"
   
  
$_GET[pw] = addslashes($_GET[pw]); 
  
$query "select pw from prob_orge where id='admin' and pw='{$_GET[pw]}'"
  
$result = @mysql_fetch_array(mysql_query($query)); 
  if((
$result['pw']) && ($result['pw'] == $_GET['pw'])) solve("orge"); 
  
highlight_file(__FILE__); 
?>

Blind SQL을 막기 위해 열심히 필터링 한 흔적은 보이지 않는다. 단지 이 문제를 blind SQL이라고 짐작하게 하는 부분은

- 출력되는 값은 쿼리 결과에서의 ID 값 뿐인점
- pw 인자를 통해 공격하지만 최종 인증은 pw의 값을 알아야 한다는점
- 쿼리의 결과가 없으면 값이 출력되지 않는점

이 3가지를 들수 있다.

하지만 이 문제들을 blind 기법을 사용하지 않고 공격을 해 보도록 하자.
SQL injection에서 Blind 기법이 아니라면 union과 같이 임의의 출력을 보여줄수 있는 구문을 채용하거나
sleep()과 같은 side channel 을 사용하는것이 큰 부류라고 생각한다. 해당 문제에서 sleep() 을 사용하였을 경우 정확한 값을 측정하기까지 몇번의 시도가 있어야 하고 sleep()도 blind sql 의 갈래로 보는 경우가 많다.
따라서 이 문서에서는 union을 사용해서 공격하는 방법에 대해서 조금 설명하고자 한다.

mysql 또한 프로그래밍에서 말하는 변수라는 개념을 가지고 있다.
mysql에서 변수는 주로 오버헤드를 줄이기 위해서 채용하는 경우가 많다.
이 같은 내용은 기타 프로그래밍에서도 느낄수 있는 예제가 많이 있을것이다.


char* s_name = "Sakuya Izayoi";
for(int i =0; i < 0x99; i++)
  printf("NAME LENGTH : %d",strlen(s_name));

와 같은 코드가 있다면, strlen 함수를 0x99번을 부르게 될것이다. (물론, 컴파일러가 최적화 해줄것이라 생각한다.)
strlen(s_name)의 값을 변수에 넣어두고 그 값을 계속 부르면 오버헤드가 덜 할것이다.

db는 특히나 유저의 요청이 많고 많은 정보를 포함하고 있어서 이러한 최적화를 쿼리단계에서 해주는것도 상당히 중요하다.
여기서 사용하는 변수를 우리는 공격에 사용할 것이다.
우선 원하는 값을 변수에 담고, 그 값을 union을 통해 출력하도록 할 것이다.

우선 변수에 넣는 방법부터 알아보자
변수에 넣을 값을 출력해야 하므로 SELECT 구문에 대한 reference를 참고하면 좋을것 같다. SELECT ~ INTO OUTFILE(DUMPFILE) PATH 를 사용하면 파일로 출력할 수 있지만, var_name을 사용하면 해당 변수에 그 값을 담는것이 가능하다.


하지만 Reference를 보면 into 이후에 union구문을 사용할 수 없다고 되어있다.
실제로 사용하면 에러가 발생한다.

때문에 조금 다른방법으로 변수에 값을 대입하는 방법을 소개한다



해당 방법을 사용하면 변수에 값을 바로 대입하는것이 가능하다.
이를 통해 공격 쿼리문을 다시 구성해보면


공격이 성공한 것을 볼 수 있다.
이것을 응용해서 orge문제에 접근해 보도록 하자.


6c864dec 라는 값을 얻을수 있고, 이것은 admin의 password임을 확인 할 수 있다.
덧붙여서 @a:=pw 이전에 아무런 조건도 주지 않으면, 맨 마지막 row의 값을 들고와서 대입을 하게 되는데 이것은 아마 모든 row를 돌면서 값을 대입하기 때문이라 생각한다.




때문에 원하는 값을 정확히 얻고 싶다면 조건을 붙여주는것으로 쿼리문을 작성할 필요가 있다.

4. 결론
Blind SQL injeciton의 몇가지 기법과 이러한 기법을 우회하여 공격할 수 있는 방법에 대해 알아보았다. 오버헤드를 줄이기 위해서 사용해야 할 변수를 공격에도 사용할수 있음을 알고, DB와 연결되는 보안서비스에 대한 재 점검이 필요한 서버도 있지 않을까?


'Web' 카테고리의 다른 글

[TIP?] sql injection을 위한 깔끔한 코드 작성법  (2) 2018.08.21
Webhacking Study - Query sniff  (2) 2018.04.06
SQLi.py  (0) 2016.11.02
Upload 코드의 흔한 실수  (2) 2016.03.07
Custom Webshell  (0) 2016.02.12
Posted by IzayoiSakuya
,