홈페이지 취약점 분석 이야기 파일 지도 사진 깨알

>> 목록보이기
#SQL구문삽입 #nmap #sqlmap #DBMS감식 #SQL문 #MySQL #Oracle Database #Microsoft SQL Server #A1-Injection

데이터베이스 관리시스템 감식(DBMS Fingerprinting)

표준 SQL이 있지만 데이터베이스 관리시스템(DBMS)마다 약간씩의 차이가 있다. 때문에 SQL구문삽입 공격이 성공하려면 정확한 DBMS 종류을 알아야 하는 경우가 많다. 반대로 방어자의 입장에서는 사용중인 DBMS를 가능한 감추는 것이 좋다. 공격자가 어떻게 DBMS 지문인식(DBMS 소프트웨어 알아내기)을 하는 지 살펴보면 방어자의 입장에서 어떠한 조치를 취할 수 있는 지 이해하기 쉬울 것이다.

nmap

Nmap으로 DBMS 관련 포트를 점검하면 DBMS 종류를 대략 알 수 있다.

  • MySQL: 3306
  • Oracle: 1521
  • MS SQL Server: 1433

일부 서버의 경우에는 nmap으로 상세한 DBMS 종류를 탐지할 수도 있다. 다음은 Ubuntu 16.04.1 서버를 대상으로 한 nmap 실행결과이다. 

root@kali:~# nmap -A 192.168.189.137

Starting Nmap 7.31 ( https://nmap.org ) at 2016-12-23 11:08 KST
Nmap scan report for 192.168.189.137 (192.168.189.137)
Host is up (0.00012s latency).
Not shown: 994 closed ports
PORT     STATE SERVICE VERSION
22/tcp   open  ssh     OpenSSH 7.2p2 Ubuntu 4ubuntu2.1 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey: 
|   2048 72:cb:bd:97:db:92:04:e3:14:b7:61:b2:f3:70:ee:95 (RSA)
|_  256 b3:f1:98:99:8f:f5:61:15:e0:a8:68:2d:4f:8c:35:fb (ECDSA)
25/tcp   open  smtp    Postfix smtpd
|_smtp-commands: ubuntu, PIPELINING, SIZE 10240000, VRFY, ETRN, STARTTLS, ENHANCEDSTATUSCODES, 8BITMIME, DSN, 
| ssl-cert: Subject: commonName=ubuntu
| Not valid before: 2016-11-22T17:19:32
|_Not valid after:  2026-11-20T17:19:32
|_ssl-date: TLS randomness does not represent time
80/tcp   open  http    Apache httpd
|_http-server-header: Apache
|_http-title: phpinfo()
110/tcp  open  pop3    Dovecot pop3d
|_pop3-capabilities: TOP SASL(PLAIN) CAPA AUTH-RESP-CODE USER UIDL RESP-CODES PIPELINING
143/tcp  open  imap    Dovecot imapd
|_imap-capabilities: LOGIN-REFERRALS have LITERAL+ post-login IDLE listed capabilities ENABLE Pre-login ID OK IMAP4rev1 more AUTH=PLAINA0001 SASL-IR
3306/tcp open  mysql   MySQL 5.7.16-0ubuntu0.16.04.1
| mysql-info: 
|   Protocol: 53
|   Version: .7.16-0ubuntu0.16.04.1
|   Thread ID: 13
|   Capabilities flags: 63487
|   Some Capabilities: FoundRows, SupportsCompression, SupportsTransactions, InteractiveClient, Speaks41ProtocolOld, LongPassword, DontAllowDatabaseTableColumn, IgnoreSigpipes, ODBCClient, IgnoreSpaceBeforeParenthesis, Speaks41ProtocolNew, LongColumnFlag, SupportsLoadDataLocal, Support41Auth, ConnectWithDatabase
|   Status: Autocommit
|   Salt: #D#\x1FlP(\x1FV*
\x0B\x06\x19N\x15U
Service Info: Host:  ubuntu; OS: Linux; CPE: cpe:/o:linux:linux_kernel

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 18.18 seconds
root@kali:~#

3306 포트에서 MySQL 5.7.16-0ubuntu0.16.04.1를 운영하고 있다. 이 문자열에서 정확한 운영체제(Ubuntu 16.04.1)의 종류도 알 수 있다.

오류기반 탐지

SQL 주입의 시작점은 입력값에 작은따옴표(')를 덧붙이는 것으로 시작한다. SQL문에서 작은따옴표는 항상 쌍으로 나타나야 한다. 그렇지 않을 경우에는 오류를 발생한다. 작은 따옴표를 덧붙이는 것은 의도적으로 오류를 발생시키기 위한 것이다. 오류 발생시에 오류와 관련된 정보를 출력한다면 대개의 경우에는 DBMS 종류를 알 수 있다.

DBMS마다 출력하는 오류의 경향을 보면 기반 DBMS의 종류를 알 수 있다.

[ MySQL의 오류정보 사례 ]

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''''' at line 1

오류 정보에 데이터베이스 관리시스템 이름(MySQL)이 노출되고 있다.

[ Oracle의 오류정보 사례 ]

ORA-01789: query block has incorrect number of result columns.

오라클의 오류 번호는 "ORA"를 접두어로 하여 다섯자리 숫자로 구성된다. 이 번호를 보면 DBMS가 오라클인 것을 알 수 있다.

[ MS SQL Server의 오류정보 사례 ]

Microsoft OLE DB Provider for SQL Server 오류 '80040e14'
' order by ord, cd, name ' 문자열 앞에 닫히지 않은 인용 부호가 있습니다.

MSSQL 서버는 오류정보에 일반적으로 SQL Server라는 문자열을 출력한다.

보안조치가 잘된 웹 서비스에서는 이러한 오류정보를 출력하지 않는다. SQL 구문삽입이 탐지된 웹 애플리케이션에서 오류정보가 출력되지 않을 경우에는 다음과 같은 방법으로 DBMS 종류를 파악할 수 있다.

데이타베이스 버전 불러오기

UNION 질의를 SQL문에 주입할 수 있을 경우에는 DBMS로부터 직접 버전정보를 불러올 수 있다.

  • MySQL: SELECT @@version
  • Oracle: SELECT banner FROM v$version WHERE rownum=1
  • MS SQL Server: SELECT @@version

MS SQL 서버에서 SQL 주입으로 DBMS 버전정보를 불러오는 시나리오는 다음과 같다. 

데이터베이스 버전을 불러오는 SQL문을 주입한 변수 값
5 AND 3=4 UNION SELECT 1, 2, @@version
 
SQL문 주입 후에 만들어지는 SQL문
SELECT id, qty, name FROM products WHERE id=5 AND 3=4 UNION SELECT 1, 2, @@version
 
결과 – 1, 2 다음에 다음 문자열을 출력
Microsoft SQL Server 2008 (SP1) - 10.0.2531.0 (X64) 
Mar 29 2009 10:11:52
Copyright (c) 1988-2008 Microsoft Corporation
Express Edition (64-bit) on Windows NT 6.1 <X64> (Build 7601: Service Pack 1)1


출처: Database Fingerprinting - How to identify DBMS with SQL Injection

MSSQL에서는 위와 같이 상세한 버전정보를 출력한다. 하지만 오라클이나 MySQL의 경우에는 매우 간단한 숫자 정보를 출력한다. 숫자의 특성을 보면 MySQL과 Oracle을 구분할 수 있다.

간접적인 DBMS 종류 탐지

웹 방화벽, 방화벽 등으로 인하여 위와 같은 직접적인 방법이 불가능한 경우도 많다. 이러한 경우에는 각 DBMS에서만 특정된 기능을 사용하여 판별할 수도 있다.

[ SQL 주석의 차이 비교 ]

MySQL과 다른 DBMS는 주석 처리에서 약간의 차이가 있다.

  • MySQL 주석: /* block comment */, -- (뒷줄 주석, 공백을 덧붙여야 함), # (뒷줄 주석)
  • Oracle 주석: /* block comment */, -- (뒷줄 주석)
  • MS-SQL 주석: /* block comment */, -- (뒷줄 주석)

-- 이나 #이 주석으로 처리된다면 DBMS는 MySQL이다.

[ 숫자 연산 함수 비교 ]

DBMS마다 숫자 연산을 지원하는 함수에도 차이가 있다. 다음은 각 DBMS에서만 지원하는 숫자연산 함수의 예들이다.

  • MySQL: POW(1,1)
  • Oracle: BITAND(1,1)
  • MS-SQL: SQUARE(1)
취약한 URL
http://www.victim.com/author.php?id=5

특정 DBMS(MySQL)인지를 탐지하기 위한 연산자
http://www.victim.com/author.php?id=6-POW(1,1)


출처: Database Fingerprinting - How to identify DBMS with SQL Injection

위의 사례에서 6-POW(1,1)=5로 계산된다면 MySQL이다. 다른 DBMS라면 POW() 함수가 정의되어 있지 않아서 SQL 문법 오류(SQL syntax error)가 발생한다.

[ 문자열 연산 비교 ]

DBMS마다 문자열 합치기 연산(string concatenation operator) 방식에 차이가 있다. 다음은 각 DBMS의 문자열 합치기 연산 방법이다. 결과는 "abcdef"를 만든다.

  • MySQL: 'abc' 'def'
  • Oracle: 'abc'||'def'
  • MS-SQL: 'abc'+'def'
취약한 URL
http://www.victim.com/author.php?nickname=SteeveJobs

특정 DBMS(Oracle)인지를 탐지하기 위한 문자열 합치기 연산자
http://www.victim.com/author.php?nickname='Steeve'||'Jobs'


출처: Database Fingerprinting - How to identify DBMS with SQL Injection

위의 사례에서 'Steeve'||'Jobs'='SteeveJobs'로 연산된다면 Oracle이다. 다른 DBMS라면 SQL 문법 오류(SQL syntax error)가 발생할 것이다.

[ 어림짐작 ]

위와 같은 모든 방법이 통하지 않는다면 찍을 수 밖에 없다. 경험이 요구된다. 일반적으로 ASP/ASPX 누리집에서는 MS SMQ Server를 많이 사용한다. PHP 기반의 소규모 누리집이라면 무료로 사용할 수 있는 MySQL 기반일 가능성이 크다. 정부기관이나 기업이라면 고가의 DBMS인 오라클을 사용하는 경우가 많다.

사실 이러한 데이터베이스 시스템 탐지작업은 SQL 구문 취약점이 있을 경우에 사용하는 방법이다. 이미 SQL 주입 취약점이 있다고 탐지되었으면, 굳이 수작업으로 판별하는 것보다는 sqlmap과 같은 SQL 공격도구를 사용하는 것이 훨씬 빠르고 훨씬 효율적이다.

[처음 작성한 날: 2016.12.22]    [마지막으로 고친 날: 2016.12.23] 

< 이전 글 : 로그인한 상태에서 웹취약점스캐너의 자동점검 위험성 (2016.12.28)

> 다음 글 : FCKeditor를 대상으로 한 자동화 공격툴의 침해사례 (2016.12.20)

크리에이티브 커먼즈 라이선스 이 저작물은 크리에이티브 커먼즈 저작자표시 4.0 국제 라이선스에 따라 이용할 수 있습니다.
잘못된 내용, 오탈자 및 기타 문의사항은 j1n5uk{at}daum.net으로 연락주시기 바랍니다.
문서의 시작으로 컴퓨터 깨알지식 웹핵 누리집 대문