주제 : Webhacking Study - no more BLIND
날짜 : 2017.04.18
작성자 :Sakuya Izayoi


1. 개요 및 목적
Lord Of SQL injection(이하 LOS) 의 문제를 통해 blind SQL injeciton을 알고, 이외의 방법으로 풀수 있는 방안에 대해 연구한다. blind 기법으로 풀어야 할 문제들을 다른 방법으로 접근하는 것으로, CTF 및 모의해킹의 수행시간을 단축함을 그 목적으로 한다.

2. 내용
이번 문서의 시작은 정도원(rubiya)의 페이스북 포스팅에서 시작한다. 포스팅의 내용은, 'LOS의 문제중 간단한 Blind SQL injection 기법을 사용하는 문제가 있었는데, 이 문제를 Blind 기법을 사용하지 않고 풀 수 있다' 라는 내용이다. 






이에 순수한 학문적 호기심이 생겼고, 이 방법을 찾아 mysql의 삽질을 시작하기로 했다.
아래는 이 연구에 사용한 작업환경이다

Mysql : 5.6.30-0ubuntu0.15.10.1
OS      :  Ubuntu 16.04



우선 테스트용 db와 table을 만들어 보자.
해당 테스트에서 사용하는 DB와 구조는 아래와 같다

create database Test_DB;
use Test_DB;
create table users(num int not null, id varchar(30) not null, password varchar(30) not null, primary key(num));
insert into users values(1, 'GUEST', 'GUEST');
insert into users values(2, 'Sakuya', 'admin_Paddword');
insert into users values(3, 'Izayoi', 'noadmin');


목적은 Sakuya의 Password를 가져오는것으로 하도록 하자.  문서의 취지에 맞게 Blind SQL 구문을 사용해서 가져오는 것으로만 한정 하도록 한다.
기본적인 쿼리문의 형태는 


SELECT * FROM users WHERE id='GUEST' and password='{$INPUT}'

를 사용한다.

3. Blind SQL injection
Blind SQL injection은 원하는 정보를 한번에 가져오는 SQL injection과 다르게, 원하는 정보를 1 byte 씩 들고와서 비교하는 기법이다.
1byte씩 비교하기 때문에 분기조건을 가진 구문 혹은 분기로 판단되는 근거를 잡는것이 가장 중요하다. 아래 내용에서는 그러한 분기 구문들, 분기로 판단할수 있는 근거를 체크하는 방법에 대해 설명한다. 해당 구문이 필터링에 걸릴때와 같은 특수한 경우는 제외하고 일반적인 상황에 중점을 둔다. 필터링과 같은 상황에 사용할수 있는 Cheat sheet나 전반적인 SQL injection에 대한 지식은 rubiya의 문서를 참고하면 좋다. 또한 상기의 문서들은 이 문서를 이해하는데 큰 도움을 줄 것이다.

-3.1 IF
if구문은 프로그래밍을 해본 사람이라면 누구나 알고 있을법한 단어이다. if구문의 사용법은 이하와 같다

if(Condition, TRUE, FALSE)

if 의 1번째 인자값인 Condition은 분기조건에 해당한다. 단순한 대소 비교부터 참,거짓 등등 원하는 값을 넣을수 있다.
if 의 2번째 인자값인 TRUE는 Condition의 분기조건이 TRUE(참) 일때 리턴할 값이 들어간다. 이곳엔 단순한 value 부터 Subquery의 결과물까지 여러가지 들어갈 수 있다.
if 의 3번째 인자값인 FALSE는 TRUE와 반대로 분기조건이 FALSE(거짓)일때 리턴할 값이 들어간다. 들어갈수 있는 값은 위에 서술한 TRUE에 들어갈수 있는 종류와 같다.
좀더 자세한 IF 구문의 사용법은 Mysql Reference 측을 참고하도록 하자.

해당 IF와 자주 엮이는 2개의 함수가 있는데, ascii와 substring이다.

-substring
substring 함수는 문자열을 자르는데 사용되는 함수이다. split과 달리 delim 기준이 아닌 순수한 문자열의 index 기준이다. 함수의 모형은 이하와 같다

substring(STRING, start_idx, count_idx)

STRING을 start_idx부터 count_idx만큼의 갯수를 세어 리턴한다.
아래는 substring의 예시이다



Blind SQL에서는 보통 3번째 인자값이 1로 고정 되는데, 1byte씩 비교해야 하는 Blind 기법의 특성때문이다.

-ascii
ascii 함수는 C언어의 atoi와 같다. 해당함수의 ascii값을 리턴해 준다. 이 ascii 함수를 통해 substring으로 가져온 문자열을 ascii로 변환하는 것이 일반적인 Blind sql injection의 과정이다.


이제 Condition에 들어갈만한 substring과 ascii 함수를 알아보았다.
이를 조합하여 IF구문을 완성하면 아래와 같은 형태가 될 가능성이 높다

if ( ascii(substring(password,1,1))=0,1,0 )

모의해킹 및 CTF 환경에 따라 IF 구문의 2,3번째 인자값은 바뀔수 있다.
=0 으로 비교하는 부분의 값도 효율성을 위해 Binary Search 를 적용할 수 있다.

해당 구문을 사용하여 Sakuya 계정의 패스워드를 가져와 보도록 하자.



password의 첫 글자를 가져왔을때 해당 문자의 ascii 값이 97일때는 TRUE를, 96일때는 FALSE를 돌려주었다. 이것이 실제 php application에 적용되었을때는 Login 성공/실패 혹은 검색결과 출력/미출력 등의 화면을 보여주는 형태가 될 확률이 높다. 이러한 과정은 많은 시도횟수를 요구하므로 주로 간단한 스크립트를 작성하거나 SQLmap과 같이 알려진 툴을 사용할 때가 많다.

3-2 CASE WHEN
CASE WHEN의 경우에도 if와 같은 동작을 한다.
개략적인 형태는 아래와 같다

CASE WHEN condition1 THEN true ELSE false END
THEN ~ ELSE 사이에 더 많은 THEN 구문을 넣을수 있지만, 여기선 참/거짓만 판단하도록 하나의 THEN~ ELSE만 넣었다.
이 역시 IF와 마찬가지로 condition1 이 TRUE라면 true에 적힌 값을, FALSE라면 false의 값을 리턴하도록 되어있다.
이 역시 자세한 구문은 Mysql Reference를 참고 하도록 하자.

IF와 큰 다른점이 없으므로 사용 예시만 살펴보자.




3-3 row()
row()는 함수라기보다 말 그대로 하나의 row를 표현해준다.
sql 쿼리를 요청했을때 우리에게 보여지는 row의 개념과 동일하다고 생각하면 좋다.
다소의 이해를 돕기위해 아래의 예제를 보자



select 1,2 의 결과와 row(1,2)의 결과는 같다.
하지만 row(1,1)의 결과와 select 1,2의 결과는 다르다.
이것을 통해서도 blind sql injection을 수행할 수 있다.
내가 가져올 계정의 ID가 Sakuya 인것을 알수 있고, password를 모른다고 가정했을때 공격은 아래와 같이 천천히 진행된다



like 구문을 통한 blind sql과 비슷한 양상이라고 생각하면 쉽다.
0x61????????? 값은 Sakuya 계정의 password 형식과 일치하지만
0x62???????? 값은 Sakuya 계정의 password와 일치하지 않고, 이 값은 사전적으로 admin_Paddword보다 뒤에 있으므로 True를 리턴하게 된 결과다.
해당 쿼리를 사용하며 주의할 점은 where 구문 대신 limit를 넣어야 한다는 점이다.
where구문을 통해 결과값을 돌려받기 전 컴파일 단계에서 row와 select의 결과를 미리 비교해 버려서 어떤값을 넣더라도 항상 참이 뜨는 경우를 볼 수 있다.




상기 기술한 내용 이외에도 많은 기법들이 있을수 있다. 하지만 이정도만 따라 올수 있어도 일반적인 Blind SQL injection은 잘 할수 있으리라 생각한다.

4. LOS - orge
해당 문제의 소스코드를 보도록 하자.


<?php 
  
include "./config.php"
  
login_chk(); 
  
dbconnect(); 
  if(
preg_match('/prob|_|\.|\(\)/i'$_GET[pw])) exit("No Hack ~_~"); 
  if(
preg_match('/or|and/i'$_GET[pw])) exit("HeHe"); 
  
$query "select id from prob_orge where id='guest' and pw='{$_GET[pw]}'"
  echo 
"<hr>query : <strong>{$query}</strong><hr><br>"
  
$result = @mysql_fetch_array(mysql_query($query)); 
  if(
$result['id']) echo "<h2>Hello {$result[id]}</h2>"
   
  
$_GET[pw] = addslashes($_GET[pw]); 
  
$query "select pw from prob_orge where id='admin' and pw='{$_GET[pw]}'"
  
$result = @mysql_fetch_array(mysql_query($query)); 
  if((
$result['pw']) && ($result['pw'] == $_GET['pw'])) solve("orge"); 
  
highlight_file(__FILE__); 
?>

Blind SQL을 막기 위해 열심히 필터링 한 흔적은 보이지 않는다. 단지 이 문제를 blind SQL이라고 짐작하게 하는 부분은

- 출력되는 값은 쿼리 결과에서의 ID 값 뿐인점
- pw 인자를 통해 공격하지만 최종 인증은 pw의 값을 알아야 한다는점
- 쿼리의 결과가 없으면 값이 출력되지 않는점

이 3가지를 들수 있다.

하지만 이 문제들을 blind 기법을 사용하지 않고 공격을 해 보도록 하자.
SQL injection에서 Blind 기법이 아니라면 union과 같이 임의의 출력을 보여줄수 있는 구문을 채용하거나
sleep()과 같은 side channel 을 사용하는것이 큰 부류라고 생각한다. 해당 문제에서 sleep() 을 사용하였을 경우 정확한 값을 측정하기까지 몇번의 시도가 있어야 하고 sleep()도 blind sql 의 갈래로 보는 경우가 많다.
따라서 이 문서에서는 union을 사용해서 공격하는 방법에 대해서 조금 설명하고자 한다.

mysql 또한 프로그래밍에서 말하는 변수라는 개념을 가지고 있다.
mysql에서 변수는 주로 오버헤드를 줄이기 위해서 채용하는 경우가 많다.
이 같은 내용은 기타 프로그래밍에서도 느낄수 있는 예제가 많이 있을것이다.


char* s_name = "Sakuya Izayoi";
for(int i =0; i < 0x99; i++)
  printf("NAME LENGTH : %d",strlen(s_name));

와 같은 코드가 있다면, strlen 함수를 0x99번을 부르게 될것이다. (물론, 컴파일러가 최적화 해줄것이라 생각한다.)
strlen(s_name)의 값을 변수에 넣어두고 그 값을 계속 부르면 오버헤드가 덜 할것이다.

db는 특히나 유저의 요청이 많고 많은 정보를 포함하고 있어서 이러한 최적화를 쿼리단계에서 해주는것도 상당히 중요하다.
여기서 사용하는 변수를 우리는 공격에 사용할 것이다.
우선 원하는 값을 변수에 담고, 그 값을 union을 통해 출력하도록 할 것이다.

우선 변수에 넣는 방법부터 알아보자
변수에 넣을 값을 출력해야 하므로 SELECT 구문에 대한 reference를 참고하면 좋을것 같다. SELECT ~ INTO OUTFILE(DUMPFILE) PATH 를 사용하면 파일로 출력할 수 있지만, var_name을 사용하면 해당 변수에 그 값을 담는것이 가능하다.


하지만 Reference를 보면 into 이후에 union구문을 사용할 수 없다고 되어있다.
실제로 사용하면 에러가 발생한다.

때문에 조금 다른방법으로 변수에 값을 대입하는 방법을 소개한다



해당 방법을 사용하면 변수에 값을 바로 대입하는것이 가능하다.
이를 통해 공격 쿼리문을 다시 구성해보면


공격이 성공한 것을 볼 수 있다.
이것을 응용해서 orge문제에 접근해 보도록 하자.


6c864dec 라는 값을 얻을수 있고, 이것은 admin의 password임을 확인 할 수 있다.
덧붙여서 @a:=pw 이전에 아무런 조건도 주지 않으면, 맨 마지막 row의 값을 들고와서 대입을 하게 되는데 이것은 아마 모든 row를 돌면서 값을 대입하기 때문이라 생각한다.




때문에 원하는 값을 정확히 얻고 싶다면 조건을 붙여주는것으로 쿼리문을 작성할 필요가 있다.

4. 결론
Blind SQL injeciton의 몇가지 기법과 이러한 기법을 우회하여 공격할 수 있는 방법에 대해 알아보았다. 오버헤드를 줄이기 위해서 사용해야 할 변수를 공격에도 사용할수 있음을 알고, DB와 연결되는 보안서비스에 대한 재 점검이 필요한 서버도 있지 않을까?


'Web' 카테고리의 다른 글

[TIP?] sql injection을 위한 깔끔한 코드 작성법  (2) 2018.08.21
Webhacking Study - Query sniff  (2) 2018.04.06
Webhacking Study - no more BLIND  (6) 2017.04.18
Upload 코드의 흔한 실수  (2) 2016.03.07
Custom Webshell  (0) 2016.02.12
SQL Injection Study  (3) 2015.11.13
Posted by Maid:: IzayoiSakuya

댓글을 달아 주세요

  1. AhnMo 2017.04.18 15:41  댓글주소  수정/삭제  댓글쓰기

    (SELECT @a:=pw)로 굳이 안해도 @a:=pw로 해도 되더라구요.
    ... and pw=''||@a:=pw union select @a limit 1,1 이렇게

  2. ch4n3 2017.04.19 20:17  댓글주소  수정/삭제  댓글쓰기

    이거 프린트해서 기숙사에서도 보고 있어요. union sql injection에 대해서 심한 경각심을 못느끼고 있었는데, 이 문서를 통해서 경각심을 느끼게 된 것 같아요! 감사합니당ㅎㅎ

  3. stypr 2017.04.23 14:45  댓글주소  수정/삭제  댓글쓰기

    제 서버가.. 끆끆 ㅜㅜ

-출제후기-


문제를 내보는게 어떻겠냐는 처음 제의에 많이 망설였습니다.

코드게이트가 작은 대회도 아니고 제 실력으로 전세계의 짱짱한 해킹팀들을 테스트 하는 문제를 낸다는게 상당히 부담스럽고

코딩실수나 문제 설계 오류로 인해서 많은 팀들의 눈쌀을 찌푸리게 하진 않을까, 제의 해준 회사에 누가 되지는 않을까. 하고 말이죠


"팀당 한두시간 버틸 난이도로 내주세요" 라고 들으니 더더욱 부담이 컸습니다.
하지만 다른 웹문제 출제도 될테니.. 하고 아이디어를 찾기 시작하다가 평소에 생각해둔, 구현해보고 싶은것을 짜보기로 했습니다.

그게 이번 문제의 첫 단계로 지정된 oracle padding attack이었습니다.


이전에 출제됬던 codegate문제의 oracle padding attack과 크고작은 워게임의 oracle padding attack을 보면서 느낀점이

문제 유형이 하나의 블럭에 대해서만 암/복호화를 하는 유형으로 거의 고정되어 있다는걸 느꼈습니다.

이 부분에서 조금의 고민을 했죠. 왜 하나의 블럭만 암/복호화 하는지.


oracle padding attack 을 이해하기 위해서는 하나의 블럭만 암/복호화 해도 상관없다고 생각합니다만,

공격의 기본이 되는 CBC와 같은 원리에 대해서는 다소 도움이 되지 않을것이라 생각했습니다. 그래서 이것을 2개이상의 블럭이 나오도록

암호화 해보는건 어떨까? 라는게 첫 아이디어 였습니다.


하지만 세계급 대회인 만큼 하나의 아이디어로 문제를 내기엔 역부족이라 생각하였습니다. 그래서 복호화 된 평문을 기준으로 새로운

인증과정이 있으면 어떨까? 하는 생각이 났습니다

일반적인 로그인 과정을 보면 ID와 PW를 입력하듯이, 이 평문에는 그러한 정보가 있고 이 정보를 토대로 로그인을 하는 그런 문제를 만드는것이

어떨까? 하는 생각이 났습니다.


처음엔 단순한 sql injection을 넣을까? 하는 생각을 하다가 조금은 특별한 구문을 채용하기로 했습니다.

해당 구문은 특정상황에서 column name을 몰라도 해당 테이블의 정보유출이 가능한 구문으로, real world에선 거의 쓰일 일이 없지만,

여러분의 학문적인 흥미를 유발하기에 충분할 것이라 생각하고, 문제 풀이과정에 있는 도전자 분들에게는 상당히 많은 스트레스를 유발할수 있지만

문제를 풀어냈을때 쾌감과 함께 얻어가는 지식이 있을것이라 생각했습니다.


이 부분은 제가 BoB 과정에 있으면서 들은 조언중  '문제를 만들때는 항상 전달하고자 하는것이 있어야 한다.' 라는 모토와 부합한다고 생각했습니다.

그리하여, 한국시간 19시 50분 경, LC/BC 팀이 처음으로 이 문제를 풀어내고 IRC 닉네임 vos 라는 해커에게서 "정말 좋은 첼린지 였어!" 라는 말을 들었을때

출제하길 정말 잘했다 라는 생각이 들더군요. 


그 이후 몇몇팀이 풀기 시작하고 대학부에서도 한 팀이 풀어냈습니다. 물론, 질문은 대회가 끝나기 10분 전까지도 왔습니다만.. 그만큼 제 문제에 대해

많은 고민을 해 주신게 아닌가 하고 생각하니 그 동안 고생한 것에 대한 보람이 느껴졌습니다.


한편으로는 역시 padbuster와 같은 tool의 사용을 막기 위해서 조금 더 신경썼어야 했다, 문제를 좀더 어렵게 냈어야 했다 등등 마음속에서 다소의 아쉬움도 있었지만 그것들은 단순히 문제로 도전자를 괴롭히기 위한 하나의 심술에 지나지 않는다는 생각을 했습니다. 이 문제로 난 충분히 이야기 하고싶은것을 전달했고, 이에 대해 많은 분들께서 얻어가는게 있다면 이 문제, 코드게이트에서의 2D Life는 성공적인 문제라고 스스로 생각합니다.


대회도중, 대회가 끝나고도 이 문제에 대해 guessing 문제 라고 말씀하시는 분들이 있는걸 보면 아직 제 문제 출제 실력이 역시 미숙하다는것을 느낍니다. 가능한 자연스럽게 유도하는 문제가 되었어야 헀지만 그렇지 못한점, 이 후기를 통해 사과의 말씀 드리고 싶습니다.


첨부한 문서는 출제된 2D life 문제에 해당하는 제가 쓴 Write up 입니다. 어떻게 보면 제작자가 원하는 방향이라고 볼수도 있겠죠.

주변 지인에게서 받은 풀이방법들도 대부분 제가 의도한 구문들이 적혀있어서 다른 Writeup과 큰 차이는 없을수 있지만.. 



2D Life Write up_off the recode.pdf


Posted by Maid:: IzayoiSakuya

댓글을 달아 주세요

  1. 2017.12.31 23:36  댓글주소  수정/삭제  댓글쓰기

    비밀댓글입니다

    • Maid:: IzayoiSakuya 2018.01.12 16:58 신고  댓글주소  수정/삭제

      비밀댓글이라 이제 봤네요. 평소에 로그인안하고 공개댓글만 보다보니..
      해당 툴의 사용법이라면 --help 와 같은 명령어를 통해서도 충분히 얻을수 있지만

      http://www.hackingarticles.in/hack-padding-oracle-lab/
      이 사이트의 문서가 도움이 될수 있겠네요.
      원리만 아신다면 직접 짜보시는게 더 도움이 될겁니다.

  2. aadf 2018.01.30 15:38  댓글주소  수정/삭제  댓글쓰기

    안녕하세요 궁금한게 있어서 여쭈어 봅니다. 코드게이트 2017년 write up을 보면서 궁금했던점이 쿠키값을 보고 오라클 패딩 공격을 해야겠다는 발상을 할 수 있는 지를 잘 모르겠어요. secret 페이지 까지 들어가서 spy로 로그인을 하는 것 까지는 따라 가겠는데, 물론 로그인이 된다면 의심할 만한 것중 쿠키값이 있다는 것은 알겠지만 그 쿠키값을 오라클 패딩어택을 사용해야 한다는 것 까지는 힘들어서요. 또한 제가 서칭 해 보아도 잘 모르겠어서 그런데 오라클 패딩공격을 할 수 있는 유형이 따로 있는지요? 귀찮으시겠지만 혹시 답변 가능하시면 부탁드릴게요,,,

    • Maid:: IzayoiSakuya 2018.01.31 09:09 신고  댓글주소  수정/삭제

      CTF에 대한 전반적인 감이라고 해야할까..
      아무래도 웹은 입력값을 넣고 그 입력값을 토대로 추측할수 밖에 없으니까요

      Base64에 사용되지 않은 | 라는 문자열이 무언가를 구분하기 위한 delim으로 사용됐다는것을 알면 앞부분과 뒷부분을 바꿔봐야겠다는 생각이 들수 있고, "Error has occur from decrypt.." 라는 에러메세지를 토대로 무언가 복호화 하고 있다는 것을 알 수 있죠.

      그 복호화의 실패가 나의 쿠키변조에서 일어났다는걸 알게 된다면, oracle padding과 연관지을수 있습니다.

    • Maid:: IzayoiSakuya 2018.01.31 09:13 신고  댓글주소  수정/삭제

      이건 CTF와 같이 힌트가 주어지는 경우에 추측할수 있는것들이고, 일반적인 모의해킹 상황은 조금 다릅니다.
      쿠키로 제공하지 않고 GET으로 이해할수 없는 값을 보낸다거나, Hidden value로 보낼수도 있겠죠.
      오라클 패딩어택의 기본요건은 아시다시피 복호화 실패등에 대한 에러를 공격자가 인지할수 있는 환경에서 가능합니다.
      좀더 자세한 설명은 아래 링크를 첨부해 드릴게요
      http://linkc.tistory.com/164
      http://bperhaps.tistory.com/3

  3. 상감자 2018.02.01 13:29 신고  댓글주소  수정/삭제  댓글쓰기

    답변 감사합니다. 그런데 오라클패딩기법을 사용하기 위해서 전제 되어야하는 조건을 알수있나요? 복호화 실패와 성공이 꼭 표시 되어야지 만이 쓸 수 있는 공격 기법인가요?

    • Maid:: IzayoiSakuya 2018.02.01 14:14 신고  댓글주소  수정/삭제

      제가 아는 지식선 상에서는
      1. CBC모드를 사용할것
      2. 패딩규칙이 일반적일 것
      3. 복호화의 결과가 올바르지 않다는 에러를 공격자가 인지 할수 있을것.
      이렇게 3가지입니다.

      CBC는.. 블럭암호를 만들때 사용하는 하나의 방법이고..

      패딩규칙에 여러가지가 있는걸로 아는데, 여기서 사용된것은 남은 byte만큼의 숫자로 패딩하는 규칙을 사용했던걸로 기억합니다.(PKCS7 패딩) 이외에 여러가지 패딩규칙이 있습니다.

      마지막으로 공격자가 인지할수 있을것은 꼭 에러문뿐 아니라 응답시간에 차이가 있다던지, 페이지가 다르게 출력된다던지(redirect 계열) 등등 여러가지 꼽을수 있겠네요.

      비단 웹 뿐만아니라 암호학에 관련된 부분이기 때문에 같은 알고리즘을 적용한 시스템,서비스 등도 공격당할 수 있습니다.

  4. 상감자 2018.02.01 14:19 신고  댓글주소  수정/삭제  댓글쓰기

    친절하게 답변해주셔서 정말 감사합니다.

  5. 상감자 2018.02.02 16:00 신고  댓글주소  수정/삭제  댓글쓰기

    근데 padbuster에 암호화된 문장을 넣을 때에는 %7c(|)뒤에 문자열만 넣나요 아니면 전체 문자열을 다 넣나요?
    혹시 가능하다면 padbuster에 치는 문장을 다 올려 주시거나 알려주실수는 없나요?

    • Maid:: IzayoiSakuya 2018.02.05 10:03 신고  댓글주소  수정/삭제

      패드버스터는 안쓴지 오래되서..
      아마 넣으신 암호문이 있는지 확인하는 방향으로 툴이 돌아갈거예요

      윗 댓글에 달려있듯이 아래 링크 참조하시면 응용해보실수 있겠네요
      http://www.hackingarticles.in/hack-padding-oracle-lab/

  6. 상감자 2018.02.07 09:29 신고  댓글주소  수정/삭제  댓글쓰기

    감사합니다

discord.py

2016.12.08 16:18

보호되어 있는 글입니다.
내용을 보시려면 비밀번호를 입력하세요.