본문 바로가기
웹/드림핵

simple_sqli

by SH_L 2022. 9. 3.
반응형

[문제]

 

 

[풀이]

 

DATABASE = "database.db"
if os.path.exists(DATABASE) == False:
    db = sqlite3.connect(DATABASE)
    db.execute('create table users(userid char(100), userpassword char(100));')
    db.execute(f'insert into users(userid, userpassword) values ("guest", "guest"), ("admin", "{binascii.hexlify(os.urandom(16)).decode("utf8")}");')
    db.commit()
    db.close()

 

데이터베이스를 구성하는 코드이다. 코드를 살펴보면 userid와 userpassword 컬럼은 각각 이용자의 ID와 PW를 저장한다. guest 계정의 userpassword는 이용자가 알 수 있지만, admin 계정의 userpassword는 랜덤하게 생성된 16바이트의 문자열이기 때문에 이용자가 알 수 없다.

 

@app.route('/login', methods=['GET', 'POST'])
def login():
    if request.method == 'GET':
        return render_template('login.html')
    else:
        userid = request.form.get('userid')
        userpassword = request.form.get('userpassword')
        res = query_db(f'select * from users where userid="{userid}" and userpassword="{userpassword}"')
        if res:
            userid = res[0]
            if userid == 'admin':
                return f'hello {userid} flag is {FLAG}'
            return f'<script>alert("hello {userid}");history.go(-1);</script>'
        return '<script>alert("wrong");history.go(-1);</script>'

 

/login 페이지를 구성하는 코드이다. 코드를 살펴보면 메소드에 따른 요청마다 다른 기능을 수핸하는 것을 알 수 있다. GET 메서드일 경우 userid와 userpassword를 입력할 수 있는 로드인 페이지를 제공한다. POST 메서드일 경우 이용자가 입력한 계정 정보가 데이터베이스에 존재하는지 확인한다. 이때, 로그인 계정이 admin일 경우 FLAG를 출력한다.

 

def get_db():
    db = getattr(g, '_database', None)
    if db is None:
        db = g._database = sqlite3.connect(DATABASE)
    db.row_factory = sqlite3.Row
    return db

def query_db(query, one=True):
    cur = get_db().execute(query)
    rv = cur.fetchall()
    cur.close()
    return (rv[0] if rv else None) if one else rv

 

userid와 userpassword를 이용자에게 입력받고, 동적으로 쿼리문을 생성한 뒤 query_db 함수에서 SQLite에 질의하는 것을 확인할 수 있다. 이렇게 동적으로 생성한 쿼리를 RawQuery라고 한다. RawQuery를 생성할 때, 이용자의 입력값이 쿼리문에 포함되면 SQL Injection 취약점에 노출될 수 있다.

 

이용자의 입력값을 검사하는 과정이 없기 때문에 임의의 쿼리문을 userid 또는 userpassword에 삽입해 SQL Injection 공격을 수행할 수 있다.

 

 

작성한 쿼리: SELECT * FROM users WHERE userid="admin"-- " AND userpassword="pw"

 

query_db에서 userid 검색 조건만을 처리하고, 뒷 내용을 주석처리하는 SQL Injection 공격 쿼리문을 작성한다.

 

 

작성한 쿼리: SELECT * FROM users WHERE userid="admin" or "1" AND userpassword="pw"

 

위의 쿼리문 대신에 userid 검색 조건 뒤에 OR 조건을 추가하여 뒷 내용이 무엇이든 admin이 반환되도록 하는 SQL Injection 공격 쿼리문을 사용할 수 있다.

 

 

Login 버튼을 누르면 다음과 같이 플래그를 확인할 수 있다.

반응형

' > 드림핵' 카테고리의 다른 글

command-injection-1  (1) 2022.09.03
Mango  (0) 2022.09.03
csrf-2  (0) 2022.09.03
csrf-1  (0) 2022.09.03
xss-2  (0) 2022.09.01

관련글

티스토리툴바