SSo

https://portswigger.net/research/practical-web-cache-poisoning

추후 번역할것

select id, pw from member where id='' union select info, 1 from information_schema.processlist;

->select id, pw from member where id='' union select info, 1 from information_schema.processlist

//쿼리를 모를 때 전체 쿼리를 반환받아볼 수 있음

select table_name from information_schema.tables where table_schema=database();

-> member, test_table

select column_name from information_schema.columns where table_name='member';

-> id, pw, no

rootme 문제를 풀면서 구글링을 하다가 table_name을 한번에 뽑아 내는 방법을 알게됐다.

mysql의 group_concat 함수를 사용하면 친절하게도 table_name을 limit로 따로따로 구하지 않고 한번에 붙여서 출력해준다.

ex)

select all group_concat(table_name) from information_schema.tables

=> 각 테이블을 콤마로 구분하여 출력해준다.

codegate Simple CMS 문제 write up을 보다가 새로운 sql inejction 기술을 알았다.

보통 information_schema를 이용해 wargame을 많이 풀었었는데 information을 많이 막는 경우엔 먹히지 않는다.

이럴때 풀기 좋은 방법인듯 해서 포스팅 한다.

바로 mysql.innodb_table_stats이다.

사용방법은 간단하다.

먼저 desc로 컬럼 명들을 확인해보자.

database_name, table_name 등 injection에서 중요하게 다룰 수 있는 데이터가 저장되어있다.

select해보면 table명이나 database명을 뽑을 수 있다.

CTF에서 잘 이용할 날이 있으면 좋겠다.

https://websec.ca/kb/sql_injection

LFI취약점에 대한 php wrapper

Knowing about LFI.txt

##################################################

#                                                                                    #   

#                                                                                    #                                                

#     Knowing about LFI(Local File Inclusion)                       # 

#                                                                                    #

#                                                                                    #

##################################################

[INFOS]------------------------------------------------------------------------

Title: Knowing All about LFI

Author: xer0s(kim_jey_gon@nate.com)

Date: 2013-02-10

Website: http://xer0s.tistory.com

-------------------------------------------------------------------------------

[CONTENTS]---------------------------------------------------------------------

  0x01: Introduction

  0x02: Finding LFI Vulnerability

  0x03: LFI via /proc/self/environ

  0x04: LFI via Log files

  0x05: Using PHP Wrappers

  0x06: Conclusion

-------------------------------------------------------------------------------

[0x01: Introduction]-----------------------------------------------------------

안녕하세요 여러분. LeaveRet 보안팀 소속 xer0s입니다. 이 문서를 통해 저는 LFI와 관련된 

여러 흥미로운 내용들을 다뤄볼려 합니다. 이 문서는 국내에 몇 안되는 LFI문서와 더불어 

여러분들의 LFI에 대한 이해를 도와줄 것 입니다.

제가 실력이 좋다거나 LFI에 관해서 오래 연구를 한건 아닙니다. 제가 이 문서에서 

언급하는 내용들이 이미 오래된 내용일수도 있구요. 문서에 관하여 지적해주실 내용이나

궁금하신것들은 위에 제 네이트온으로 친추 걸어주시고 쪽지 남겨주시면 최대한 빠르고 

정확하게 응답해드리겠습니다.

제가 아는 LFI에 관한 모든것을 이 문서에 담았으니 재밌게 읽어주시길 바라겠습니다.

-------------------------------------------------------------------------------

출처: http://xer0s.tistory.com/1 [xeros]

한달 전에 있었던 삼성 CTF의 WEB 문제 중 extract 함수를 이용해 공격하는 부분이 있었다.

이때 extract라는 함수의 존재를 처음 알게 되어서 기록하고자 글을 쓴다.

extract 함수에 $_GET을 인자로 넣으면 ($_POST도 가능) GET으로 넘기는 파라미터와 값을 변수와 그 초기값으로 설정할 수 있다.

아래는 로컬에서 php코드에 extract 함수를 사용한 코드다.

처음에 test란 변수에 guest를 초기값으로 주고 이 test 변수의 값을 출력하는 간단한 코드다.

extract함수에 GET을 인자로 주고 확인해보겠다.

초기값으로 설정된 guest가 출력된다.

하지만 파라미터로 test=admin을 리퀘스트해보았다.

test란 변수에 admin이 들어간게 확인됐다.

extract 함수가 취약하지 않도록 사용되는 경우는 

변수를 선언하기 전에 extract 함수를 사용하거나, 

extract 이후에 다시 변수를 덮어쓰는 코드가 존재하면 공격에 이용되기가 어려워진다.

또한 공격자가 내부 변수명을 알아야 사용이 가능하다는 점과,

EXTR_SKIP이 옵션으로 선언 된다면 취약하지 않다.