웹 해킹 bWAPP - 14. A1 - Injection - SQL Injection (AJAX/JSON/jQuery)

웹 해킹 bWAPP - 14. A1 - Injection - SQL Injection (AJAX/JSON/jQuery)

 

 

본 내용은 교육 과정에서 필요한 실습 목적으로 구성된 것이며, 혹시라도 개인적인 용도 및 악의적인 목적으로 사용할 경우, 법적 책임은 본인에게 있다는 것을 알려드립니다.

 

1. Injection

 

 - OWASP Top10 A1 - 악의적인 명령 삽입
 - 서버로 전송되는 요청 정보에 악의적인 명령을 삽입하여 불필요한 동작을 실시하거나, 서버/시스템/DB 중요 정보를

   획득할 수 있는 취약점이다.
 - Ex) HTML 인젝션, SQL 인젝션, PHP 인젝션, XML 인젝션

 

 

 

2. AJAX/JSON/jQuery

 

 1) AJAX(Asynchronous Javascript And XML)

 

 - 다른 도메인의 서버 URL을 호출하여 데이터를 가져올 수 있는 기능을 수행한다.

 - 사용자와 웹페이지와 자유롭게 상호작용 할 수 있는 기능을 수행한다.

 - 별도의 프로그램 없이 웹페이지를 다시 로딩할 필요 없이 내용, 메뉴 등을 제공한다.

 - 서버 처리를 대기하지 않고, 비동기 요청이 가능하다.

 

 

 2) JSON(JavaScript Object Notation)

 

 - 자바스크립트 기반으로 개발됬으며, 여러 프로그래밍 언어에도 사용할 수 있는 독립형 언어
 - 웹 브라우저와 웹 서버 간 비동기 통신, 웹 서버 간의 데이터 교환 등에 주로 사용

 - Ex) 자바스크립과 PHP 간에 JSON으로 데이터 전달

 

 

 3) jQuery

 

 - HTML의 클라이언트 사이드 조작을 단순화 하도록 설계된 크로스 플랫폼의 자바스크립트 라이브러리

 

 

 

3. Injection - SQL Injection (AJAX/JSON/jQuery)

 

 

Ex1) Injection - SQL Injection (AJAX/JSON/jQuery) 이해

 

 

보안 레벨 선택 및 시나리오 선택

 

 

 

'Go'/'Search' 버튼 없이 'war'만 입력해도 'World War Z'가 출력됨

 

 

 

' or 1=1 # 인젝션 실시 및 취약점 결과 확인

 

 

 

14-0. SQL 인젝션 추가-1.txt

컬럼 7개 확인 및 컬럼 번호 2,3,4,5 확인

 

 

 

14-1. SQL 인젝션 추가-2.txt

2,3,4,5 컬럼에 database(),user(),system_user(),@@version 인젝션 실시

 

 

 

14-2. SQL 인젝션 추가-3.txt

SQL 인젝션을 이용한 information_schema 데이터베이스의 테이블 이름 확인

 

 

 

14-3. SQL 인젝션 추가-4.txt

SQL 인젝션을 이용한 information_scheme 테이블에서 테이블 스키마가 bWAPP 데이터베이스의 users 테이블 컬럼 내용만 확인 가능

 

 

 

14-4. SQL 인젝션 추가-5.txt

SQL 인젝션을 이용한 bWAPP 데이터베이스의 users 테이블(id,login,password,email...) 내용 확인

 

 

 

 

Ex2) 'sqli_10-1.php' 파일 내용 확인

 

bee@bee-box:/var/www/bWAPP$ ls -l sqli_10-1.php
-rw-rw-r-- 1 root www-data 6595 2014-11-02 23:52 sqli_10-1.php

bee@bee-box:/var/www/bWAPP$ vi sqli_10-1.php

~ 중간 생략 ~      <script>         $("#title").keyup(function(){             // Searches for a movie title             var search = {title: $("#title").val()};             // AJAX call             $.getJSON("sqli_10-2.php", search, function(data){                   // 키값이 입력되면 sqli_10-2.php으로 getJSON 요청을 실시                 init_table();                 // Constructs the table from the JSON data                 var total = 0;                 $.each(data, function(key, val){                     total++;                     $("#table_yellow tr:last").after("<tr><td>" + val.title + "</td><td align='center'>" + val.release_year + "</td><td>" + val.main_character + "</td><td align='center'>" + val.genre + "</td><td align='center'><a href='http://www.imdb.com/title/" + val.imdb + "' target='_blank'>Link</a></td></tr>");                 });                 // Empty result                 if (total == 0)                 {                     $("#table_yellow tr:last").after("<tr height='30'><td colspan='5' width='580'>No movies were found!</td></tr>");                 }             })         }); :q!

 

 

 

Intercept -> 'Intercept is on' 으로 변경 실시

 

 

'w' 입력 실시

 

 

 

버프슈트 Intercept 내용 확인 -> 'Forward' 버튼 클릭

 

 

HTTP Header & Body 내용 확인

GET /bWAPP/sqli_10-2.php?title=w HTTP/1.1 Host: 192.168.20.205 User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:52.0) Gecko/20100101 Firefox/52.0 Accept: application/json, text/javascript, */*; q=0.01 Accept-Language: en-US,en;q=0.5 Accept-Encoding: gzip, deflate Referer: http://192.168.20.205/bWAPP/sqli_10-1.php?title=war X-Requested-With: XMLHttpRequest Cookie: security_level=0; PHPSESSID=2b40d7b43fa3cdf050e6a3a768b4f83e Connection: close

 

 

 

Forward 한 이후, 응답 내용 확인 -> 'Intercept is on'를 클릭하여 off 실시

 

 

 

Forward 한 이후, 응답 내용 확인

HTTP/1.1 200 OK Date: Thu, 31 Jan 2019 05:30:34 GMT Server: Apache/2.2.8 (Ubuntu) DAV/2 mod_fastcgi/2.4.6 PHP/5.2.4-2ubuntu5 with Suhosin-Patch mod_ssl/2.2.8 OpenSSL/0.9.8g X-Powered-By: PHP/5.2.4-2ubuntu5 Expires: Thu, 19 Nov 1981 08:52:00 GMT Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0 Pragma: no-cache Content-Length: 497 Connection: close Content-Type: text/json; charset=utf-8   [{"0":"6","id":"6","1":"The Cabin in the Woods","title":"The Cabin in the Woods","2":"2011","release_year":"2011","3":"horror","genre":"horror","4":"Some zombies","main_character":"Some zombies","5":"tt1259521","imdb":"tt1259521","6":"666","tickets_stock":"666"},{"0":"10","id":"10","1":"World War Z","title":"World War Z","2":"2013","release_year":"2013","3":"horror","genre":"horror","4":"Gerry Lane","main_character":"Gerry Lane","5":"tt0816711","imdb":"tt0816711","6":"0","tickets_stock":"0"}]

 

 

 

'Intercept is off' 확인

 

 

title이 'w'으로 시작하는 영화 2개가 출력됨

 

 

 

 

Ex3) 'sqli_10-2.php' & 'functions_external.php' 파일 내용 확인

 

bee@bee-box:/var/www/bWAPP$ ls -l sqli_10-2.php
-rw-rw-r-- 1 root www-data 1859 2014-11-02 23:52 sqli_10-2.php

bee@bee-box:/var/www/bWAPP$ vi sqli_10-2.php

~ 중간 생략 ~   include("functions_external.php"); include("connect.php");   function sqli($data) {     switch ($_COOKIE["security_level"])     {         case "0" :               $data = no_check($data);             break;           case "1" :               $data = sqli_check_1($data);             break;           case "2" :               $data = sqli_check_2($data);             break;           default :             $data = no_check($data);             break;     }     return $data; }   :q!

 

 

bee@bee-box:/var/www/bWAPP$ gedit functions_external.php

~ 중간 생략 ~   function sqli_check_1($data) {        return addslashes($data);             // 작은따옴표를 문자열로 이스케이프 실시 }   function sqli_check_2($data) {        return mysql_real_escape_string($data);             // SQL 인젝션에서 사용하는 특수문자에 백슬래시를 붙여 입력값을 이스케이프 실시                (NULL, \n, \r, \, ', ", ^Z) }

 

 

 

 

Ex3) 보안 레벨 'High' 변경

 

 

보안 레벨 및 시나리오 선택

 

 

 

14-5. SQL 인젝션 추가-6.txt

SQL 인젝션 실패

 

 

[유튜브] 동영상 강의 링크 (구독! 좋아요!!!)

웹해킹 14. bWAPP Injection - SQL Injection (AJAX&JSON&jQuery)   https://youtu.be/Lr3M2JMJ_tU