DreamHack - [wargame.kr] tmitter 풀이

SQL Injection 취약점이 있는 페이지 찾기

우선 로그인 페이지, 회원 가입 페이지에 단따옴표(‘)나 쌍따옴표(")를 다 넣었지만 딱히 문제없이 회원 가입과 로그인이 작동했다. 하지만 닉네임에 단따옴표(’)가 있을 때 tmitter 작성 기능이 잘 안되는 것을 확인하여 작성 기능에 SQLi 취약한 점을 찾았다.

필드 개수 확인하기

tmitter 작성 기능에 사용하는 SQL 쿼리문을 예측을 해보았다.
처음에는 아래와 같은 쿼리를 쓰지 않을까 생각을 했었지만 그럼 공격이 먹히기 쉽지 않았다.

insert into tmitter_board(id, msg) values ('guest', 'hello');

아무튼 메시지', null)#을 쓰고 작성을 하니 제대로 올라가는 것을 확인하고 필드가 몇 가지 더 있다는 것을 확인함

작동하는 메시지', null)#에 더 나아가 이번에는 메시지', null), (0, 0, 0, 0)#를 작성하고 작동이 되는 걸 확인하고 입력받는 필드가 4개인 것을 인지하였다.

실제로 아래와 같은 쿼리문이 아니였을까

insert into tmitter_board(???, id, msg, ???) values (???, 'guest', 'hello', ???);

admin 패스워드 빼내오기

메시지', null), (0, 'admin', (select ps from tmitter_user where id='admin'), 0)#

admin의 패스워드를 가져오기 위해 사용한 쿼리문이다. 위처럼 쉼표(,)를 기준으로 insert가 두 개 이상이 가능하고 또 value 안에 쿼리문이 사용 가능하단 것을 처음 알았다.