• 웹 해킹 훈련장 172.16.15.116 40080/tcp 대상 공개용 도구 기반의 홈페이지 취약점 점검 실습 (20200507)
• Kali Linux 2020.1b 64bit 설치 설명서 (MS 윈도우 10, VMware 플레이어) (20200325)
• VirtualBox 가상머신으로 GSM CE 6.0.2 설치 설명서 (OpenVAS) (20200125)
• Kali Linux 2019.4 64bit Light 배포판 설치 설명서 (권장) (20191202)
• Kali Linux 2019.3 64bit Large 배포판 설치 및 한글 설정 설명서 (20191129)
• [과제] WH-MissAuth-1 웹해킹훈련장: 접속자 권한인증 후 출력 제어 취약점 (20180619)
• [과제] WH-WebEditor-SE2 웹해킹훈련장: 취약한 PHP 버전에서 원래 파일이름을 저장하는 웹에디터의 취약점을 이용한 시스템 침투 (20170827)
• [과제] WH-FILEDOWN-01 웹해킹훈련장: 파일다운로드로 서버침투 (20170810)
• [과제] WH-COOKIE-02 웹해킹훈련장: 쿠키 오용 취약점 (20170809)
• Apache Tomcat /manager/html 무작위대입공격 도구 작성 - PHP (20170721)
• 칼리 리눅스를 이용한 From SQL Injection to Shell 공략 (20170404)
• 단순한 방어법(../ 제거)의 파일 다운로드 취약점 진단 사례 (20170329)
• WH-WebEditor-CH 라이브 ISO: 이미지 검증 기능을 우회하여 PHP 웹쉘 생성 (20170130)
• 오늘의 웹서버 공격 로그: MySQL 관리 인터페이스 자동탐색 도구 - Jorgee Scanner (20170125)
• WH-WebEditor-GM 라이브 ISO: 이미지 검증 기능을 우회하여 PHP 웹쉘 생성 (20170123)
• 오늘의 웹서버 공격 로그: Apache ProxyAbuse 탐지 시도 (20170122)
• 오늘의 웹서버 공격 로그: Bash 쉘쇼크 취약점을 이용한 Perl Ircbot 삽입 시도 (20170122)
• 오늘의 웹서버 공격 로그: phpMyAdmin 취약점 자동탐색 도구 - ZmEu Scanner (20170121)
• 오늘의 웹서버 공격 로그: 워드프레스 취약점 자동탐색 도구 (20170118)
• WH-PathTrav-01 라이브 ISO: 파일 다운로드 취약점으로 서버 침투 (20170116)
• WH-Webshell-Loc-01 라이브 ISO: 서버 내 웹쉘 저장경로 알아내기 (20170114)
• WH-ImgShell-01 라이브 ISO: 이미지에 덧붙인 웹쉘 취약점 웹해킹훈련장 (20170113)
• SSH 무작위 대입 공격으로 root권한을 탈취한 침해사고 사례 (20170112)
• WH-IllInst-WordPress 워드프레스 웹해킹훈련장 소개 (20170110)
• WH-IllInst-WordPress 워드프레스 웹해킹훈련장 실습 설명서 (20170110)
• MSSQL과 MySQL의 SQL구문삽입을 이용한 OS 명령어 실행 (20170109)
• WH-CommInj-01 원격 운영체제 명령어 삽입 취약점 훈련장(라이브 ISO) 소개 및 실습 설명서 (20170106)
• WH-Deface-01 기능별 권한인증 취약점 훈련장(라이브 ISO) 소개 (20170104)
• WH-Deface-01 웹해킹훈련장 실습 설명서 (20170104)
• WH-Account-01 회원가입 취약점 훈련장(라이브 ISO) 소개 (20170102)
• WH-Account-01 웹해킹훈련장 실습 설명서 (20170103)
• WH-Account-02 회원정보수정 취약점 훈련장(라이브 ISO) 소개 (20170103)
• WH-Account-02 웹해킹훈련장 실습 설명서 (20170104)
• 저장형 XSS 공격을 이용한 홈페이지위변조 공격 사례 (20161231)
• 로그인한 상태에서 웹취약점스캐너의 자동점검 위험성 (20161228)
• DBMS Fingerprinting (데이터베이스 관리시스템 탐지) (20161222)
• FCKeditor를 대상으로 한 자동화 공격툴의 침해사례 (20161220)
• 이중 서버스크립트 혼용을 이용한 웹방화벽/확장자검증 우회 (실제 사례) (20161219)
• HTTP/HTTPS 혼용에 따른 관리자로그인 페이지 접근 우회 (실제 사례) (20161214)
• 경로재지정 취약점: 자바스크립트를 이용한 검증과 그 우회, 그리고 XSS (실제 사례) (20161214)
• 웹해킹 사례: 유명 홈페이지를 악성코드 배포 경유지로... (20161213)
• HTML 삽입, XSS 공격 탐지방법 (20161211)
• 오늘의 웹서버 공격 로그, Axis2, 공개프록시 (20161210)
• 오늘의 웹서버 공격 로그, XML-RPC, Open Proxy (20161208)
• nikto와 owasp-zap 연동 (20161206)
• 미라이 IoT DDoS 봇넷이 사용한 61개 비밀번호 (20161205)
• 오늘의 웹서버 공격 로그, SOAP 원격코드실행, D-Link 명령어 삽입, muieblackcat (20161205)
• 오늘의 웹서버 공격 로그, w00tw00t (DFind) (20161204)
• 기억하기 쉽고 안전한 비밀번호 만들기 (20161203)
• 2016.12.01-02 웹서버 공격 로그, armgg DDoS 악성코드 (20161202)
• KISA의 랜섬웨어 예방 수칙 (20161202)
• WH-DVWA-1.9 Damn Vulnerable Web App 웹해킹훈련장 (20161201)
• DVWA Brute Force 실습 설명서 (20161205)
• DVWA Command Injection 실습 설명서 (20161207)
• DVWA CSRF (low, high level) 실습 설명서 (20161208)
• DVWA File Inclusion 실습 설명서 (20161215)
• DVWA File Upload 실습 설명서 (20161221)
• DVWA SQL Injection (low, medium, high level) 실습 설명서 (20161224)
• DVWA SQL Injection medium level - OWASP-ZAP과 sqlmap 실습 설명서 (20161222)
• DVWA Blind SQLi (high level) 수동점검을 통한 '눈먼'SQL 구문삽입의 이해 (20161227)
• DVWA Blind SQL Injection (low, medium level) sqlmap 실습 설명서 (20161226)
• DVWA Reflected Cross Site Scripting (XSS) 실습 설명서 (20161227)
• DVWA Stored Cross Site Scripting (XSS) 실습 설명서 (20170101)
• SVG 이미지의 ECMAscript를 이용한 악성코드 배포 (20161201)
• WH-WebGoat-7.0.1 웹해킹훈련장 라이브 ISO (20161130)
• WebGoat: Bypass a Path Based Access Control Scheme (20161207)
• WebGoat, LAB: DOM-Based cross-site scripting (20161208)
• WebGoat, Authentication Flaws: Multi Level Login 2 (20161209)
• WebGoat, Code Quality: Discover Clues in the HTML (20161210)
• WebGoat XSS: Phishing with XSS (20161211)
• WebGoat: OS Command Injection (20161215)
• WebGoat: Numeric SQL Injection (20161216)
• WebGoat: String SQL Injection (UNION기반 SQL 구문삽입의 이해) (20161217)
• WebGoat: Blind Numeric SQL Injection (추리기반 SQL 구문삽입의 이해) (20161218)
• 2016.11.30 웹서버 공격 로그 (20161130)
• OWASP TOP 10 (2013) 문서의 각종 해킹 시나리오 모음 (20161129)
• WH-LFI-01: 널바이트삽입과 내부파일실행 웹해킹훈련장 (20161126)
• WH-LFI-01 웹해킹훈련장의 취약점 분석 결과보고서 (20161128)
• 인터넷(Internet)과 보안에 대해 짧게 생각해보다 (20161125)
• PHP Easter Egg의 이해와 조치방안 (20161125)
• WH-COOKIE-01: 잘못된 쿠키 사용 사례를 보여주는 웹해킹훈련장 (20161124)
• WH-COOKIE-01 웹해킹훈련장 홈페이지 취약점분석 결과보고서 (20161126)
• 웹해킹 공격/방어 일람 (20161121)
• webhack.dynu.net 문자배너 만들기 - toilet (20161121)
• MIME 형식의 보안위협 완화: X-Content-Type-Options 헤더 (20161120)
• X-XSS-Protection헤더 시험 페이지 (20161119)
• 방화벽을 노리는 블랙너스(Black Nurse) DoS 공격 (20161118)
• 클릭재킹 방지를 위한 X-Frame-Options 헤더 (20161117)
• X-Frame-Options헤더 시험 페이지 (20161118)
• 공시생 성적조작 사건, 물리보안과 정보보안 (20161117)
• ID/PW 평문전송, 정말 그렇게 큰 취약점인가? (20161116)
• [웹해킹훈련장] 취약한 비밀번호: WH-weak-root-pw 실습 설명서 (20161116)
• weak-root-pw 훈련장 웹취약점 분석 보고서 (20161117)
• 슬리타즈 리눅스 4.0 설치와 웹해킹훈련장 Live ISO 만들기 (20161115)
• 버추얼박스 가상머신에서 Tails OS 설치 (20161114)
• Kali Linux에 Tor Browser 설치하기 (20161114)
• 인터넷익명성 - VPN과 Tor (20161114)
• Kali Linux, open-vm-tools, Shared Folder (20161113)
• SSL Strip 공격과 HSTS (20161112)
• 모든 꼬리표 모아보기(태그 클라우드) (20161111)
• HTTP 세션 탈취와 IP보안 (20161111)
• HTTP TRACE method와 XST 공격 (20161111)
• 세션쿠키와 HttpOnly (20161110)
• HTTP 메소드 수동점검 방법 (20161110)
• 파일업로드(웹쉘) 방어하기 (20161109)
• 파일다운로드/경로조작 방어하기 (20161109)
• XSS, SQL Injection 방어하기 (20161109)
• 길찾기(sitemap) (20161109)
• 웹취약성분석 관련 파일 목록 (20161108)
• SQL 인젝션 공격도구 sqlmap의 간단한 사용법 (20161107)
• 웹취약점 분석 도구로서의 THC Hydra (20161107)
• 웹취약점 분석 도구로서의 cURL (20161107)
• [웹해킹훈련장] CVE-2014-6271: Bash Shellshock 실습 설명서 (20161104)
• [PentesterLab] CVE-2014-6271 Shellshock 훈련장 웹취약점 분석 보고서 (20161106)
• 무료 웹해킹 교육장 목록 (20161103)
• 칼리 리눅스(Kali Linux) 설치 (20161030)
• 가상머신 버추얼 박스(VirtualBox) 설치 (20161029)
• 가상머신 VMWare Workstation Player 설치 (20161028)
• [웹해킹훈련장] Drunk Admin Web Hacking Challenge 실습 설명서 (20161027)
• 스마트에디터(SmartEditor) 2.0 Basic의 웹쉘 업로드 취약점 (20160719)
<< 목록숨기기
#SQL구문삽입
#nmap
#sqlmap
#DBMS감식
#SQL문
#MySQL
#Oracle Database
#Microsoft SQL Server
#A1-Injection
데이터베이스 관리시스템 감식(DBMS Fingerprinting)
표준 SQL이 있지만 데이터베이스 관리시스템(DBMS)마다 약간씩의 차이가 있다. 때문에 SQL구문삽입 공격이 성공하려면 정확한 DBMS 종류을 알아야 하는 경우가 많다. 반대로 방어자의 입장에서는 사용중인 DBMS를 가능한 감추는 것이 좋다. 공격자가 어떻게 DBMS 지문인식(DBMS 소프트웨어 알아내기)을 하는 지 살펴보면 방어자의 입장에서 어떠한 조치를 취할 수 있는 지 이해하기 쉬울 것이다.
nmap
Nmap으로 DBMS 관련 포트를 점검하면 DBMS 종류를 대략 알 수 있다.
- MySQL:
3306 - Oracle:
1521 - MS SQL Server:
1433
일부 서버의 경우에는 nmap으로 상세한 DBMS 종류를 탐지할 수도 있다.
다음은 Ubuntu 16.04.1 서버를 대상으로 한 nmap 실행결과이다.
root@kali:~# nmap -A 192.168.189.137 Starting Nmap 7.31 ( https://nmap.org ) at 2016-12-23 11:08 KST Nmap scan report for 192.168.189.137 (192.168.189.137) Host is up (0.00012s latency). Not shown: 994 closed ports PORT STATE SERVICE VERSION 22/tcp open ssh OpenSSH 7.2p2 Ubuntu 4ubuntu2.1 (Ubuntu Linux; protocol 2.0) | ssh-hostkey: | 2048 72:cb:bd:97:db:92:04:e3:14:b7:61:b2:f3:70:ee:95 (RSA) |_ 256 b3:f1:98:99:8f:f5:61:15:e0:a8:68:2d:4f:8c:35:fb (ECDSA) 25/tcp open smtp Postfix smtpd |_smtp-commands: ubuntu, PIPELINING, SIZE 10240000, VRFY, ETRN, STARTTLS, ENHANCEDSTATUSCODES, 8BITMIME, DSN, | ssl-cert: Subject: commonName=ubuntu | Not valid before: 2016-11-22T17:19:32 |_Not valid after: 2026-11-20T17:19:32 |_ssl-date: TLS randomness does not represent time 80/tcp open http Apache httpd |_http-server-header: Apache |_http-title: phpinfo() 110/tcp open pop3 Dovecot pop3d |_pop3-capabilities: TOP SASL(PLAIN) CAPA AUTH-RESP-CODE USER UIDL RESP-CODES PIPELINING 143/tcp open imap Dovecot imapd |_imap-capabilities: LOGIN-REFERRALS have LITERAL+ post-login IDLE listed capabilities ENABLE Pre-login ID OK IMAP4rev1 more AUTH=PLAINA0001 SASL-IR 3306/tcp open mysql MySQL 5.7.16-0ubuntu0.16.04.1 | mysql-info: | Protocol: 53 | Version: .7.16-0ubuntu0.16.04.1 | Thread ID: 13 | Capabilities flags: 63487 | Some Capabilities: FoundRows, SupportsCompression, SupportsTransactions, InteractiveClient, Speaks41ProtocolOld, LongPassword, DontAllowDatabaseTableColumn, IgnoreSigpipes, ODBCClient, IgnoreSpaceBeforeParenthesis, Speaks41ProtocolNew, LongColumnFlag, SupportsLoadDataLocal, Support41Auth, ConnectWithDatabase | Status: Autocommit | Salt: #D#\x1FlP(\x1FV* \x0B\x06\x19N\x15U Service Info: Host: ubuntu; OS: Linux; CPE: cpe:/o:linux:linux_kernel Service detection performed. Please report any incorrect results at https://nmap.org/submit/ . Nmap done: 1 IP address (1 host up) scanned in 18.18 seconds root@kali:~#
3306 포트에서 MySQL 5.7.16-0ubuntu0.16.04.1를 운영하고 있다.
이 문자열에서 정확한 운영체제(Ubuntu 16.04.1)의 종류도 알 수 있다.
오류기반 탐지
SQL 주입의 시작점은 입력값에 작은따옴표(')를 덧붙이는 것으로 시작한다.
SQL문에서 작은따옴표는 항상 쌍으로 나타나야 한다.
그렇지 않을 경우에는 오류를 발생한다.
작은 따옴표를 덧붙이는 것은 의도적으로 오류를 발생시키기 위한 것이다.
오류 발생시에 오류와 관련된 정보를 출력한다면 대개의 경우에는 DBMS 종류를 알 수 있다.
DBMS마다 출력하는 오류의 경향을 보면 기반 DBMS의 종류를 알 수 있다.
[ MySQL의 오류정보 사례 ]
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''''' at line 1
오류 정보에 데이터베이스 관리시스템 이름(MySQL)이 노출되고 있다.
[ Oracle의 오류정보 사례 ]
ORA-01789: query block has incorrect number of result columns.
오라클의 오류 번호는 "ORA"를 접두어로 하여 다섯자리 숫자로 구성된다. 이 번호를 보면 DBMS가 오라클인 것을 알 수 있다.
[ MS SQL Server의 오류정보 사례 ]
Microsoft OLE DB Provider for SQL Server 오류 '80040e14' ' order by ord, cd, name ' 문자열 앞에 닫히지 않은 인용 부호가 있습니다.
MSSQL 서버는 오류정보에 일반적으로 SQL Server라는 문자열을 출력한다.
보안조치가 잘된 웹 서비스에서는 이러한 오류정보를 출력하지 않는다.
SQL 구문삽입이 탐지된 웹 애플리케이션에서 오류정보가 출력되지 않을 경우에는
다음과 같은 방법으로 DBMS 종류를 파악할 수 있다.
데이타베이스 버전 불러오기
UNION 질의를 SQL문에 주입할 수 있을 경우에는 DBMS로부터 직접 버전정보를 불러올 수 있다.
- MySQL:
SELECT @@version - Oracle:
SELECT banner FROM v$version WHERE rownum=1 - MS SQL Server:
SELECT @@version
MS SQL 서버에서 SQL 주입으로 DBMS 버전정보를 불러오는 시나리오는 다음과 같다.
데이터베이스 버전을 불러오는 SQL문을 주입한 변수 값 5 AND 3=4 UNION SELECT 1, 2, @@version SQL문 주입 후에 만들어지는 SQL문 SELECT id, qty, name FROM products WHERE id=5 AND 3=4 UNION SELECT 1, 2, @@version 결과 – 1, 2 다음에 다음 문자열을 출력 Microsoft SQL Server 2008 (SP1) - 10.0.2531.0 (X64) Mar 29 2009 10:11:52 Copyright (c) 1988-2008 Microsoft Corporation Express Edition (64-bit) on Windows NT 6.1 <X64> (Build 7601: Service Pack 1)1 출처: Database Fingerprinting - How to identify DBMS with SQL Injection
MSSQL에서는 위와 같이 상세한 버전정보를 출력한다. 하지만 오라클이나 MySQL의 경우에는 매우 간단한 숫자 정보를 출력한다. 숫자의 특성을 보면 MySQL과 Oracle을 구분할 수 있다.
간접적인 DBMS 종류 탐지
웹 방화벽, 방화벽 등으로 인하여 위와 같은 직접적인 방법이 불가능한 경우도 많다. 이러한 경우에는 각 DBMS에서만 특정된 기능을 사용하여 판별할 수도 있다.
[ SQL 주석의 차이 비교 ]
MySQL과 다른 DBMS는 주석 처리에서 약간의 차이가 있다.
- MySQL 주석:
/* block comment */,--(뒷줄 주석, 공백을 덧붙여야 함),#(뒷줄 주석) - Oracle 주석:
/* block comment */,--(뒷줄 주석) - MS-SQL 주석:
/* block comment */,--(뒷줄 주석)
-- 이나 #이 주석으로 처리된다면 DBMS는 MySQL이다.
[ 숫자 연산 함수 비교 ]
DBMS마다 숫자 연산을 지원하는 함수에도 차이가 있다. 다음은 각 DBMS에서만 지원하는 숫자연산 함수의 예들이다.
- MySQL:
POW(1,1) - Oracle:
BITAND(1,1) - MS-SQL:
SQUARE(1)
취약한 URL http://www.victim.com/author.php?id=5 특정 DBMS(MySQL)인지를 탐지하기 위한 연산자 http://www.victim.com/author.php?id=6-POW(1,1) 출처: Database Fingerprinting - How to identify DBMS with SQL Injection
위의 사례에서 6-POW(1,1)=5로 계산된다면 MySQL이다.
다른 DBMS라면 POW() 함수가 정의되어 있지 않아서 SQL 문법 오류(SQL syntax error)가 발생한다.
[ 문자열 연산 비교 ]
DBMS마다 문자열 합치기 연산(string concatenation operator) 방식에 차이가 있다.
다음은 각 DBMS의 문자열 합치기 연산 방법이다. 결과는 "abcdef"를 만든다.
- MySQL:
'abc' 'def' - Oracle:
'abc'||'def' - MS-SQL:
'abc'+'def'
취약한 URL http://www.victim.com/author.php?nickname=SteeveJobs 특정 DBMS(Oracle)인지를 탐지하기 위한 문자열 합치기 연산자 http://www.victim.com/author.php?nickname='Steeve'||'Jobs' 출처: Database Fingerprinting - How to identify DBMS with SQL Injection
위의 사례에서 'Steeve'||'Jobs'='SteeveJobs'로 연산된다면 Oracle이다.
다른 DBMS라면 SQL 문법 오류(SQL syntax error)가 발생할 것이다.
[ 어림짐작 ]
위와 같은 모든 방법이 통하지 않는다면 찍을 수 밖에 없다. 경험이 요구된다. 일반적으로 ASP/ASPX 누리집에서는 MS SMQ Server를 많이 사용한다. PHP 기반의 소규모 누리집이라면 무료로 사용할 수 있는 MySQL 기반일 가능성이 크다. 정부기관이나 기업이라면 고가의 DBMS인 오라클을 사용하는 경우가 많다.
사실 이러한 데이터베이스 시스템 탐지작업은 SQL 구문 취약점이 있을 경우에 사용하는 방법이다.
이미 SQL 주입 취약점이 있다고 탐지되었으면,
굳이 수작업으로 판별하는 것보다는 sqlmap과 같은 SQL 공격도구를 사용하는 것이 훨씬 빠르고
훨씬 효율적이다.
[처음 작성한 날: 2016.12.22] [마지막으로 고친 날: 2016.12.23]
< 이전 글 : 로그인한 상태에서 웹취약점스캐너의 자동점검 위험성 (2016.12.28)
> 다음 글 : FCKeditor를 대상으로 한 자동화 공격툴의 침해사례 (2016.12.20)
이 저작물은 크리에이티브
커먼즈 저작자표시 4.0 국제 라이선스에 따라 이용할 수 있습니다.
잘못된 내용, 오탈자 및 기타 문의사항은 j1n5uk{at}daum.net으로 연락주시기 바랍니다.
문서의 시작으로 컴퓨터 깨알지식 웹핵 누리집 대문