SQL(Structured Query Language)이란? : 관계형 데이터베이스 관리 시스템(RDBMS)의 데이터를 관리하기 위해 설계된 프로그래밍 언어
[ 기본 용어 ]
▶ Query (질의) : 데이터베이스에게 특정한 데이터를 보여달라는 클라이언트의 요청
▶ Table (테이블) : 특정한 종류의 데이터를 구조적으로 묶은 목록
▶ Relation (릴레이션) : 관계형 데이터베이스에서 정보를 구분하여 저장하는 기본 단위
<용어>
① 속성 (Attribute) = 필드 (Field) = 열 (Column) = 세로
- 속성 수 = 차수 (Degree)
② 튜플 (Tuple) = 레코드 (Record) = 행 (Row) = 가로
- 튜플 수 = 카디널리티 (Cardinality)
③ 도메인 : 하나의 속성이 가질 수 있는 값들의 집합
- 더 이상 분리되지 않는 값들
④ 널 (Null) : 아직 모르거나 해당되는 사항이 없음을 표현하는 특별한 값
<특성>
① 튜플의 유일성 : 하나의 릴레이션에는 동일한 튜플이 존재할 수 없다.
② 튜플의 무순서 : 하나의 릴레이션에서 튜플 사이의 순서는 무의미하다.
③ 속성의 무순서 : 하나의 릴레이션에서 속성 사이의 순서는 무의미하다.
④ 속성의 원자성 : 속성 값으로 원자 값만 사용할 수 있다.
▶ 키 (Key) : 릴레이션에서 튜플들을 구별하는 역할을 하는 속성 또는 속성들의 집합
<특성>
① 유일성 : 한 릴레이션에서 모든 튜플은 서로 다른 키 값을 가져야 함
② 최소성 : 꼭 필요한 최소한의 속성들로만 키를 구성
<종류>
① 슈퍼키 : 유일성을 만족하는 속성 또는 속성들의 집합
② 후보키 : 유일성과 최소성을 만족하는 속성 또는 속성들의 집합
③ 기본키 : 후보키 중에서 기본적으로 사용하기 위해 선택한 키
④ 대체키 : 기본키로 선택되지 못한 후보키
⑤ 외래키 : 다른 릴레이션의 기본키를 참조하는 속성 또는 속성들의 집합
[SQL 문법의 종류]
① DDL (Data Definition Language, 데이터 정의 언어)
- 각 릴레이션을 정의하기 위해 사용하는 언어 (CREATE, ALTER, DROP, ...)
② DML (Data Manipulation Language, 데이터 조작 언어)
- 데이터를 추가/수정/삭제하기 위한, 즉 데이터 관리를 위한 언어 (SELECT, INSERT, UPDATE, ...)
③ DCL (Data Control Language, 데이터 제어 언어)
- 사용자 관리 및 사용자별로 릴레이션 또는 데이터를 관리하고 접근하는 권한을 다루기 위한 언어 (GRANT, REVOKE, ...)
▶ SELECT
SELECT [ALL | DISTINCT] 컬럼명 [,컬럼명...]
FROM 테이블명 [,테이블명...]
[WHERE 조건식]
[GROUP BY 컬럼명 [HAVING 조건식]]
[ORDER BY 컬럼명]
GROUP BY 컬럼명[,컬럼명...]
ORDER BY 컬럼명[,컬럼명...]
SELECT : 테이블로부터 얻어낼 열을 나열
FROM : 정보를 얻어낼 대상인 테이블
WHERE : 열을 선택하는 조건에 부합하는 값만 출력
GROUP BY : 특정 열을 기준으로 묶어 나타내고 싶은 경우 사용
HAVING : 집계 함수 ( COUNT, SUM, MIN, MAX ... ) 을 포함하는 조건에 부합하는 값 출력
ORDER BY : 키워드를 통해 특정 열을 기준으로 전체 정보를 정렬
Quest. SQL injection에 대해 정리하기
SQL Injection 이란? 악의적인 사용자가 보안상의 취약점을 이용하여, 임의의 SQL 문을 주입하고 실행되게 하여 데이터베이스가 비정상적인 동작을 하도록 조작하는 행위
[공격 기법]
▶ 인증 우회
: 로그인 페이지를 타겟으로 행하는 공격
- SQL 쿼리문의 true/false의 논리적 연산 오류를 이용해 로그인 인증 쿼리문이 무조건 true의 결과값이 나오게 하여 인증을 무력화 시키는 원리
▶ 데이터 노출
: 타겟의 데이터 탈취를 목적으로 하는 공격
① Error based SQL Injection: 데이터베이스의 에러메세지를 기반으로 하는 공격
- 일부러 에러를 발생시켜 그 정보를 바탕으로 데이터베이스의 정보(DB이름, Table, Column, ...)를 탈취하는 것이 가능한 공격
② Union SQL Injection : Union 연산자를 이용해 악의적인 쿼리문을 파라미터에 추가함으로 원하는 정보를 탈취하는 방식
③ Blind SQL Injection : 데이터베이스로부터 특정한 값이나 데이터를 전달받지 않고,단순히 참과 거짓의 정보만 알 수 있을 때 사용
[대응 방안]
▶ 입력 값에 대한 검증
: 검증 로직을 추가하여 미리 설정한 특수문자들이 들어왔을 때 요청을 막아낸다.
▶ Error Message 노출 금지
: 데이터베이스 에러 발생 시 따로 처리를 해주지 않았다면, 에러가 발생한 쿼리문과 함께 에러에 관한 내용을 반환해 준다. 여기서 테이블명, 컬럼명, 쿼리문이 노출이 될 수 있기 때문에, 오류발생 시 사용자에게 보여줄 수 있는 페이지를 따로 제작하거나 메시지박스를 띄우도록 해야한다.
▶ Prepared Statement 구문사용
: 사용자의 입력 값이 데이터베이스의 파라미터로 들어가기 전에 DBMS가 미리 컴파일 하여 실행하지 않고 대기하기 때문에 그 후 사용자의 입력 값을 문자열로 인식하게 하여 공격쿼리가 들어간다고 하더라도, 사용자의 입력은 이미 의미 없는 단순 문자열 이기 때문에 전체 쿼리문도 공격자의 의도대로 작동하지 않는다.
▶ 웹 방화벽 사용
: 웹 방화벽은 소프트웨어 형, 하드웨어 형, 프록시 형 이렇게 세가지 종류로 나눌 수 있는데 소프트웨어 형은 서버 내에 직접 설치하는 방법이고, 하드웨어 형은 네트워크 상에서 서버 앞 단에 직접 하드웨어 장비로 구성하는 것이며 마지막으로 프록시 형은 DNS 서버 주소를 웹 방화벽으로 바꾸고 서버로 가는 트래픽이 웹 방화벽을 먼저 거치도록 하는 방법이다.
MISSION. 영화 정보가 들어 있는 데이터베이스에 저장된 사용자들의 아이디와 비밀번호를 획득하자.
Quest. SQL Injection이 통하는지 아닌지 확인해보고, SQL Injection이 된다면 데이터베이스의 서버 종류가 무엇인지 확인해봅시다.
> hint1 데이터베이스 서버에 질의하는 쿼리에 문법 오류를 발생시켜봅시다.
> hint2 이번 문제에서 데이터베이스 서버에 질의하는 쿼리는 다음과 같습니다. SELECT * FROM movies WHERE title LIKE ' '
> hint3 C에서도 printf(“hello” world”);는 오류를 발생시킵니다. SQL도 동일합니다.
> hint4 발생시킨 오류 문구에서 데이터베이스 서버 종류를 확인할 수 있습니다.
구글링 도중 작은 따옴표 (')를 치면 해당 DB에 취약점 여부를 파악할 수 있다는 사실을 알게 되었다.
이를 통해 MySQL을 사용한다는 사실을 알 수 있었다.
Quest. 모든 영화자료를 출력해봅시다.
> hint1 SELECT문의 조건을 참으로 만들면 모든 자료를 출력할 수 있습니다.
> hint2 이번 문제에서 데이터베이스 서버에 질의하는 쿼리는 다음과 같습니다. SELECT * FROM movies WHERE title LIKE ' '
' or 1=1 #을 입력해주었더니 다음과 같은 결과가 나왔다.
위 입력 값을 통해 앞 문장을 닫아주고, 결과를 항상 참으로 만들어준다. 그리고 코드의 뒷부분을 주석으로 처리해준다.
Quest. 데이터베이스에서 호출하는 칼럼 수가 몇 개인지 알아내세요.
> hint1 UNION based SQL injection을 이용해봅시다.
UNION based SQL Injection이란? 2개 이상의 쿼리를 요청하여 결과를 얻는 UNION 연산자를 이용해 SQL Injection 공격
- 공격자는 이 연산자를 이용하여 원래의 요청에 한 개의 추가 쿼리를 삽입하여 정보를 얻어낸다. - 공격이 가능한 전제 조건은 칼럼의 개수가 같아야 하고 데이터 형식도 같아야 한다.
칼럼의 수가 다르다는 에러가 발생하였다. 그렇기 때문에 칼럼 수를 알아내기 위해 칼럼을 하나씩 추가해 보도록 하겠다.
7까지 입력해주었더니 다음과 같은 결과가 나왔다. 따라서 칼럼의 개수는 7개이다.
그리고 각각 2, 3, 5, 4번 칼럼임을 알 수 있다.
Quest. 데이터베이스에 존재하는 모든 테이블 명을 출력하세요.
> hint1 데이터베이스 정보를 가진 특별한 데이터베이스가 있습니다. 그 데이터베이스를 통해 테이블 목록 출력해봅시다.
> hint2 information_schema의 tables 테이블에서 데이터베이스의 테이블 목록을 불러올 수 있습니다.
> hint3 (데이터베이스 이름).(테이블 이름) 라는 방식으로 테이블에 접근할 수 있습니다.
> hint4 tables 테이블에서 테이블 이름은 table_name 칼럼에서 확인할 수 있습니다.
imformation_schema란? 서버 내에 존재하는 DB의 메타 정보(테이블, 칼럼, 인덱스 등의 스키마 정보)를 모아둔 DB
- 읽기 전용으로 사용자가 직접 수정 또는 관여가 불가하다. - 이용 방법 : SELECT TABLE_NAME FROM information_schema.TABLES
0' union select all 1,table_name,3,4,5,6,7 from information_schema.tables# 를 입력해주어 테이블 목록을 확인해주었다.
Quest. 우리가 출력한 테이블 명에서 사용자 정보가 있을 것 같은 테이블이 있습니다. 그 테이블의 칼럼 명을 출력해봅시다.
> hint1 아까와 같이 information_schema 데이터베이스의 테이블 중 하나를 이용합시다.
> hint2 information_schema의 columns 테이블에서 칼럼 목록을 불러올 수 있습니다.
> hint3 columns 테이블에서 칼럼 이름은 column_name 칼럼에서 확인할 수 있습니다.
> hint4 where 절을 통해 ***** 테이블 정보만 출력해봅시다.
> hint5 users 테이블에서 사용자 정보를 알 수 있습니다.
0' union select all 1,column_name,3,4,5,6,7 from information_schema.columns where table_name='users'# 을 입력해주었더니 다음과 같은 결과를 얻을 수 있었다.
Quest. 사용자의 id, password, email 정보 등을 출력해봅시다.
확인하고 싶은 칼럼인 id(순서), login(ID), email, password(비밀번호 해시값)를 2,3,4,5에 넣어주었다.
0' union select all 1,id,login,email,password,6,7 from users# 을 입력해주고 다음과 같은 결과를 얻을 수 있었다.
Quest. 분명 당신은 검색 창에 아무 의미도 없는 값을 입력했습니다. 하지만 burp suite라는 취약점 분석 도구를 통해 아래의 유의미한 결과를 출력할 수 있게 되었습니다. 이 도구를 통해 아무 값을 입력하여 아래 사진과 같이 출력하세요.
[난이도-low]
> hint1 GET 방식과 다르게 POST 방식은 전송되는 변수 값이 보이지 않습니다. 하지만 burp suite를 이용한다면 클라이언트에서 서버로 전송되는 값이 모두 보입니다. 이걸 이용하여 값을 조작해봅시다.
First name에 h1태그를 이용해 hello를 써주고 h2태그를 이용해 world를 입력해보았더니 위와 같이 나타났다.
버프 스위트에 위와 같이 나타났다. 16줄을 확인해보면 내가 작성한 값이 저장되어있는것을 확인할 수 있다.
first name에 <h1>SUCCESS</h1>를 입력했고 last name에 <img src="http://[본인IP]/bWAPP/images/bee_1.png">을 입력해주었다.
그랬더니 다음과 같은 결과를 얻을 수 있었다.
[난이도-medium]
> hint1 페이지 소스 코드를 확인해봅시다. <p>Enter your first and last name:</p> <form action="/bWAPP/htmli_post.php" method="POST"> <p><label for="firstname">First name:</label><br /> <input type="text" id="firstname" name="firstname"></p> <p><label for="lastname">Last name:</label><br /> <input type="text" id="lastname" name="lastname"></p> <button type="submit" name="form" value="submit">Go</button> </form> 우리는 form의 정보가 htmli_post.php로 전달됨을 알 수 있습니다.
> hint2 htmli_post.php 파일에 include("functions_external.php");라는 코드가 있습니다. 일부 함수를 functions_external.php 파일에 저장하는 듯 합니다.
> hint3 <과 >을 인코딩 했는데도 여전히 풀리지 않습니다. 더블 인코딩에 대해 알아봐야 할 것 같습니다.
위에서 본 결과와 다르게 h태그가 적용된 결과가 아닌 태그 그대로 출력됨을 확인할 수 있다.
페이지 소스코드를 확인해보았다.
<이 <로 변환되고, >이 >로 변환된다는 것을 확인할 수 있었다.
버프 스위트에서 security_level이 1인것을 알 수 있다.
htmli_post.php를 열어주어 확인해주었다. security_level이 1이므로 해당 단계는 xss_check_1에 해당된다.
xss_check_1함수를 찾아주었다.
여기서 <이 <로 변환되고, >이 >로 변환되도록 했다는 것을 알 수 있다.
first name에 %3Ch1%3ESUCCESS%3C%2Fh1%3E
last name에 %3Cimg%20src%3D%22http%3A%2F%2F[본인IP]%2FbWAPP%2Fimages%2Fbee_1.png%22%3E을 입력해주었다. 이는 low단계에 적었던 답들을 인코딩한 값에 해당된다.
[난이도-high] - 풀 수 없는 이유를 설명하세요
hint1. 서버에서 변수를 처리할 때 값을 조작하는 것 같습니다. php 파일을 살펴보면서 변수가 전달되는 과정을 지켜보면 답이 나올 듯 합니다. + burp suite가 작동하지 않을 때는 인증서 설정을 확인해보세요.
난이도 high에서는 security_level이 2이다. 이 함수를 위 과정과 동일하게 찾아보도록 하자.
case 2에 해당하므로 xss_check_3함수를 이용한다.
저번 실습에서 본 것과 동일하게 htmlspecialchars함수를 사용하고 있다. 이는 data로 받은 문자열을 UTF-8로 반환하는데 ", ' 둘 다 변환되기 때문에 문제를 풀 수 없다.
