[Webhacking.kr] Old - 53 Write Up

아무 반응이 없어서 코드를 확인하였다.

 

$db = dbconnect();
include "./tablename.php";
if($_GET['answer'] == $hidden_table) solve(53);
if(preg_match("/select|by/i",$_GET['val'])) exit("no hack");
$result = mysqli_fetch_array(mysqli_query($db,"select a from $hidden_table where a={$_GET['val']}"));
echo($result[0]);

이번 문제는 테이블명을 answer에 넣어서 서버로 보내면, flag를 획득할 수 있는 문제이다.

테이블명을 얻기 위해서는 select a from $hidden_table where a={$_GET['val']}에 SQLI를 통하여 테이블명을 얻어야 한다.

 

if(preg_match("/select|by/i",$_GET['val'])) exit("no hack");

select, by를 검증하고 있는데, 문제는 select를 사용할 수 없어서 Union을 이용하여 SQLI를 진행할 수 가 없다.

6.SQL Injection>테이블 명, 컬럼 명 알아내기
Union을 이용한 테이블 명을 알아내는 방법

웹해킹 SQLI 우회기법 정리 - Webhacking SQL Injection Bypass Honey Tips :: Is Secure?
인터넷에 검색을 해봤지만, 도통 union을 사용한 방법 밖에 없어서 다른 사람의 문제풀이를 참고하였다.

나는 위 블로그에서 procedure analyse 함수를 이용한 SQLi를 배울 수 있었다.

 

하지만 도커에 있는 Mysql에 시도를 하니, 작동이 되지 않았다. 인터넷에 procedure analyse를 검색하니, 사용할 수 있는 버전의 제한이 있었다.

 

MySQL :: MySQL 5.7 Reference Manual :: 8.4.2.4 Using PROCEDURE ANALYSE
PROCEDURE ANALYSE ()는 MySQL 5.7.18에서 더 이상 사용되지 않으며 MySQL 8.0에서 제거되었습니다.

내가 사용하고 있는 Mysql의 버전은 8.0.23이라서 에러가 발생한 것이였다.

igloosec 보안이슈 :: MySQL DoS 취약점(CVE-2015-4870)분석
나는 여기서 사용 가능한 버전의 범위가 궁금하여 검색을 해보니, 이글루 시큐리티에서 조사한 내용 중 MySQL 3.23.X 이상 버전에서 사용 가능한 기능이라고 명시되어있어서 3.23.X ~ 5.7.18까지의 버전에서 사용 가능하다는 것을 알 수 있었다.

 

 

위와 같이 val 파라미터에 procedure analyse 함수를 삽입하여 보내니, 테이블 명이 출력되었다.

 

해당 테이블 명을 answer 파라미터에 담아서 보내니, Flag를 획득할 수 있었다.