HDSI sql injection 공격툴

							01.HDSI sql injection 공격툴
기능 sql injection 취약점이 존재하는 홈페이지의 DB 조회 및 시스테 명령어 실행 가능. php 및 디렉토리
유추 공격도 가능함.




DB 조회 가능 테이블->컬럼->데이터 출력
DB 조회 가능 테이블->컬럼->데이터 출력
HDSI 의 특징은 시스템 명령어 실행시에 아래와 같은 테이블을 남기게 된다. 따라서 웹 로그에서 특정한
테이블을 지우거나 DBMS에 comd_list나 jiaozhu 라는 테이블이 존재한다면
HDSI로 시스템 명령어를 실행한 것이라고 볼 수있다.
net use 라는 명령어 실행




comd_list 라는 테이블 생성
HDSI 에서 실행한 흔적 테이블로 저장됨 테이블명 comd_list




HDSI 에서 dir c:₩ 실행
HDSI 명령어 실행시에 jiaozhu 이라는 테이블 생성




jiaozhu 테이블 안에 작업했던 흔적 저장됨
02.NBSI sql injection 공격툴
HDSI 보다 먼저 공개된 툴로써 현재는 상용화 되어 판매되고 있다.
6월 중국해커들이 사용한 것으로 추정됨




content_view.asp?num=236';EXEC%20MASTER..XP_CMDSHELL%20'Dir%20C:₩%20>%20C:₩NB_TmpTxt.log';DROP%20TABLE
%20NB_TmpTable;CREATE%20TABLE%20NB_TmpTable(ResultTxt%20varchar(7996)%20NULL);BULK%20INSERT%20[]..[NB_
TmpTable]%20FROM%20'C:₩NB_TmpTxt.log'%20WITH%20(KEEPNULLS);Alter%20Table%20NB_TmpTable%20add%20ID%20in
t%20NOT%20NULL%20IDENTITY%20(1,1)-- HTTP/1.0
NBSI 의 특징은 시스템 명령어 실행시에 아래와 같은 테이블을 남기게 된다.따라서 웹로그에서 특정한 테이블
을 지우거나 테이블에 NB_TmpTable 라는 테이블이 존재한다면 NBSI로 시스템 명령어를 실행한 것이라고 볼 수
있다.
NBSI 로 시스템 명령 실행 dir c:₩




NB_TmpTable 라는 테이블 생성함
NBSI 로 실행한 흔적 테이블로 저장됨
03.D-sql sql injection 공격툴
중국해커들이 MS 를 공격했을 때 사용한것으로 추정되는 툴 이고 레지스트리 수정기능 및 악성 스크립트 제작
이 가능하다.




d-sql 의 특징은 시스템 명령어 실행시에 아래와 같은 테이블을 남기게 된다.따라서 웹로그에서 특정한
테이블을 지우거나 테이블에 d99_tmp 라는 테이블이 존재한다면
d-sql 로 시스템 명령어를 실행한 것이라고 볼수있다.그리고 d99_reg 라는 테이블이 존재하면 레지스트리를
수정한것이라고 볼수있다.
시스템 명령어 실행시에 다음과 같은 d99_tmp 라는 테이블 생성함
레지스트리 수정시에 D99_REG 라는 테이블 생성됨
04.MS-SQL WebShell – WebShell 자동 생성 공격툴
IIS + MS-SQL 환경에서 Web Shell 자동 생성
확장 스토어드 프로시져 사용하여 Web Shell 생성