본문 바로가기
해킹

[해킹] Burp Suite로 웹 크롤링하고 자동으로 SQL Injection

by 햌개발 2024. 1. 22.

[해킹] Burp Suite로 웹 크롤링하고 자동으로 SQL Injection

Burp Suite 1.7 버전의 Spider 기능을 통해 웹을 스캔하여 여러 파라미터를 찾은 후 자동으로 SQL Injection을 해주면 얼마나 편할까 생각해봤다. SQL Injection 자동화 도구는 SQLMap이 존재하는데 칼리 리눅스를 설치하기 귀찮아서 BurpSuite의 BApp Store에 있는 SQLMap을 이용해 자동으로 SQLInjection을 수행해보자

 

 

설정방법

먼저 BurpSuite의 SQLiPy를 사용하려면 파이썬과 Jython2.7 버전이 필요하다 (Jython 2.7.3은 사용 X)

먼저 아래 사이트에서 Jython 2.7.2 버전을 다운받아 설치한다 (파이썬은 알아서)

 

https://repo1.maven.org/maven2/org/python/jython-installer/2.7.2/

 

Central Repository: org/python/jython-installer/2.7.2

 

repo1.maven.org

 

그 후 BrupSuite 1.7버전도 다운받아 설치한다

https://burp-suite-community-edition.software.informer.com/1.7/

 

Burp Suite Community Edition. Get the software safely and easily.

Platform where users are able to perform different types of testing on web applications.

burp-suite-community-edition.software.informer.com

 

다운받은 BurpSuite를 실행하고 Extender -> Options -> Python Environment에 설치한 Jython2.7.2의 jython.jar 파일을 경로로 잡아준다.

 

 

그다음 BApp Store 탭에서 SQLiPy Sqlmap Integration을 클릭하여 Install 해준다.

 

설치가 완료됐다면 아래처럼 SQLiPy 탭에 새로 생성된다

SQLiPy 탭에 들어가 Python 경로를 설정해주고 Start API 버튼을 클릭한다.

 

그럼, 아래처럼 SQLMap API IS CURRENTLY RUNNING!라고 나올 것이다

이렇게 하면 모든 사전 준비는 끝났다.

 

 

실습

오늘도 http://testphp.vulnweb.com/ 사이트로 실습해보자

 

먼저 네트워크 설정에 들어가 프록시를 설정해준다 (BurpSuite의 Proxy Listeners로 설정)

 

그 후,  http://testphp.vulnweb.com/  사이트에 접속해보면 BurpSuite의 Target -> Sitem map에  http://testphp.vulnweb.com/ 가 보인다, 해당 사이트를 우클릭하여 Spider this host를 클릭해 웹사이트를 스캔한다

 

(도중에 Submit Form 이런 게 뜨는데 이건 로그인, 게시글 작성 등의 페이지를 만날 때 어떤 값을 넣을지 묻는 것으로

값을 넣어주면 더욱 정확하게 사이트 구조를 파악할 수 있다.)

 

스캔이 끝나면 여러 페이지를 확인할 수 있는데 초반에 보이는 artists.php의 artist 파라미터에 SQLMap Scanner를 돌려SQL Injeotion 공격이 이루어지는지 확인해보자

 

 

오른쪽 아래에 있는 요청 메시지를 우클릭하여 SQLiPy Scan을 클릭해준다

 

 

그럼, 자동으로 SQLiPy 탭으로 이동되는데 Test Parameter(s) 부분에 공격할 파라미터를 넣어주고

DB의 3가지 기본정보(현재 사용자, 현재 DB, 호스트네임 정보)만 체크하여 알아보도록 하자

 

설정이 끝났으면 하단의 Start Scan 버튼을 클릭하면 자동으로 SQL Injection 공격을 수행한다.

 

Scan이 시작되면 SQLMap Logs에 들어가 Get 버튼을 클릭하면 현재 진행 상황이 나오는데 마지막 줄의 경로로 찾아가 보면

이렇게 3개의 파일이 보이는데 log 파일을 한번 확인해보면

 

아래처럼 DBMS 정보, 현재 사용자, 현재 DB명, 호스트네임 등의 정보를 알 수 있다. ( SQL Injection이 먹히는 곳이라면)

 

 

이렇게 BurpSuite를 이용해 사이트를 스캔하고 SQL Injection을 자동으로 수행해봤는데 수동 진단이 제일 정확하고 안전하지만, 가끔 취약점이 너무 안 나온다 싶으면 위 방법으로 SQL Injection을 찾아봐도 괜찮을 듯 하다.

 

 

'해킹' 카테고리의 다른 글

Nox에서 frida server 자동으로 실행하는 방법  (0) 2024.01.29
[해킹] DirBuster로 숨겨진 파일 및 디렉터리 찾기  (0) 2024.01.23
Burp Suite Spider 기능으로 사이트 구조 파악하기  (0) 2024.01.16
BlueStack 안드로이드 11버전 Burp Suite 이용하는 방법  (2) 2024.01.10
워드프레스 점검 도구(WPScan) window 환경에서 사용하기  (1) 2024.01.08

관련글

티스토리툴바