搜索
查看: 873|回复: 0

Bypass阿里云盾、百度云加速、安全宝、安全狗、云锁、360主机卫士SQL注入防御

[复制链接]

432

主题

573

帖子

2543

积分

核心成员

Rank: 8Rank: 8

积分
2543
发表于 2016-7-11 18:54:14 | 显示全部楼层 |阅读模式
简要描述:

安全只有相对,没有绝对。

详细说明:

Mysql在执行语句时,#注释将忽略掉"当前行"后面的所有语句,但是即使忽略了注释后面的语句,遇到换行的话还是会紧接注释之前的语句继续执行。

[/url]



再经过URL编码后为%23%0A

[url=http://static.wooyun.org/wooyun/upload/201604/05184153075bb6901ccec063f9a8f600cb4071f5.png]



漏洞证明:

阿里云盾:

[/url]



Bypass:

code 区域https://**.**.**.**/ask/3689?spm=5176.100241.0.0.eViKRY?id=1%20union%23%0Aselect%20user%20from%20ddd

[url=http://static.wooyun.org/wooyun/upload/201604/051931123231065432e8658b0334138429db485a.png]



百度云加速:

[/url]



Bypass:

[url=http://static.wooyun.org/wooyun/upload/201604/05160740b7a64a186581bcc3ccb332029f75805f.png]



安全宝:

安全宝就比较有意思了,这个方法试了下不可行。

[/url]



再看看安全宝怎么检测的:

[url=http://static.wooyun.org/wooyun/upload/201604/05170533c6a229a1243e17b3623d83b34d7b0a8f.png]



只有union select不会被拦截。

[/url]



当union select后面加上查询字段的时候就会被拦截,所以可以不必在union与select之间使用这个方法。

想了想,要是有方法配合%23%0A能绕过也可以啊,在union select%23与%0A之间做文章。

各种能想到的方式都试了个遍,也许大家猜到了故事的开头,却没猜到故事的结局。。。

想到了Emoji。。。(其实Emoji很久之前就想过了,但是一直没利用上,这回终于用上了。)

[url=http://static.wooyun.org/wooyun/upload/201604/05173101c16fe51e5f40dcd1943446de51fc00ec.png]



一个emoji图标占5个字节,mysq也支持emoji的存储,在mysql下占四个字节:

[/url]



既然在查询的时候%23会忽略掉后面的,那么Emoji就可以插入到%23与%0A之间。

[url=http://static.wooyun.org/wooyun/upload/201604/05170113e9c199900c572cb7739541bd2828e1d7.png]



再加多试了试,成功绕过了,200多个emoji图标,只能多,但少一个都不行。。。

(这里暴露出一个bug,200多个emoji插入到code区域中时,发现emoji后面的内容全没了!!!也就是说我这后面是重写了两遍!!!所以截图吧。。。)

[/url]



可能会说,这是因为超长查询导致的绕过吧?并不是。

[url=http://static.wooyun.org/wooyun/upload/201604/06222406c3e9807d458ab1dc83d5a48c1d59cf8d.png]



这么长,mysql也是会执行的:

[/url]


[url=http://static.wooyun.org/wooyun/upload/201604/062228326c08fec1d2890aa85095bb82b6a1f5ef.png]



安全狗:

Windows Server 2008 + APACHE + PHP + Mysql

[/url]



Bypass:

[url=http://static.wooyun.org/wooyun/upload/201604/06223207fdadbf1ab9e08d0ec0e7c17053aa29d6.png]



云锁:

Windows Server 2003 + APACHE + PHP + Mysql

[/url]



360主机卫士:

和安全宝那个利用方式一样,也是需要结合emoji图标即可实现绕过注入防御。

[url=http://static.wooyun.org/wooyun/upload/201604/06223812be53365b109efd299c626e5d2d51961b.png]



Bypass:

[/url]





可能会想,知道创宇的加速乐忘了?没有啊。。。其实这个方法加速乐可以是可以,但是相对来说,利用起来很鸡肋。union select是绕过了,没法绕过后面的检测。

[url=http://static.wooyun.org/wooyun/upload/201604/0622413650111700fea31d2bee486f1522007c8b.png]


[url=http://static.wooyun.org/wooyun/upload/201604/06224146b1547bdbb5af6c3c700aa148db1ffca7.png][/url]


http://wooyun.org/bugs/wooyun-2010-0192841


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?Join BUC

x
您可以更新记录, 让好友们知道您在做什么...
您需要登录后才可以回帖 登录 | Join BUC

本版积分规则

Powered by Discuz!

© 2012-2015 Baiker Union of China.

快速回复 返回顶部 返回列表