当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0192841

漏洞标题:Bypass阿里云盾、百度云加速、安全宝、安全狗、云锁、360主机卫士SQL注入防御

相关厂商:cncert国家互联网应急中心

漏洞作者: 从容

提交时间:2016-04-06 21:50

修复时间:2016-07-07 19:00

公开时间:2016-07-07 19:00

漏洞类型:非授权访问/认证绕过

危害等级:高

自评Rank:15

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2016-04-06: 细节已通知厂商并且等待厂商处理中
2016-04-08: 厂商已经确认,细节仅向厂商公开
2016-04-11: 细节向第三方安全合作伙伴开放(绿盟科技唐朝安全巡航无声信息
2016-06-02: 细节向核心白帽子及相关领域专家公开
2016-06-12: 细节向普通白帽子公开
2016-06-22: 细节向实习白帽子公开
2016-07-07: 细节向公众公开

简要描述:

安全只有相对,没有绝对。

详细说明:

Mysql在执行语句时,#注释将忽略掉"当前行"后面的所有语句,但是即使忽略了注释后面的语句,遇到换行的话还是会紧接注释之前的语句继续执行。

htsdfzbxc.png


再经过URL编码后为%23%0A

7eytsbfdz.png

漏洞证明:

阿里云盾:

65rthsdf.png


Bypass:

https://**.**.**.**/ask/3689?spm=5176.100241.0.0.eViKRY?id=1%20union%23%0Aselect%20user%20from%20ddd


5greasdv.png


百度云加速:

5wetrgdf.png


Bypass:

Screen Shot 2016-04-05 at 4.06.34 PM.png


安全宝:
安全宝就比较有意思了,这个方法试了下不可行。

65yrtsdgf.png


再看看安全宝怎么检测的:

45yregds.png


只有union select不会被拦截。

u6rthsdf.png


当union select后面加上查询字段的时候就会被拦截,所以可以不必在union与select之间使用这个方法。
想了想,要是有方法配合%23%0A能绕过也可以啊,在union select%23与%0A之间做文章。
各种能想到的方式都试了个遍,也许大家猜到了故事的开头,却没猜到故事的结局。。。
想到了Emoji。。。(其实Emoji很久之前就想过了,但是一直没利用上,这回终于用上了。)

76eythrsdfv.png


一个emoji图标占5个字节,mysq也支持emoji的存储,在mysql下占四个字节:

76jtydfd.png


既然在查询的时候%23会忽略掉后面的,那么Emoji就可以插入到%23与%0A之间。

yufjtgcfv.png


再加多试了试,成功绕过了,200多个emoji图标,只能多,但少一个都不行。。。
(这里暴露出一个bug,200多个emoji插入到code区域中时,发现emoji后面的内容全没了!!!也就是说我这后面是重写了两遍!!!所以截图吧。。。)

7utyhfg.png


可能会说,这是因为超长查询导致的绕过吧?并不是。

7utydfhg.png


这么长,mysql也是会执行的:

6rthsdbf.png


65hrtsf.png


安全狗:
Windows Server 2008 + APACHE + PHP + Mysql

4twefds.png


Bypass:

5ergds.png


云锁:
Windows Server 2003 + APACHE + PHP + Mysql

6rthdf.png


360主机卫士:
和安全宝那个利用方式一样,也是需要结合emoji图标即可实现绕过注入防御。

5regsd.png


Bypass:

5ergdf.png


可能会想,知道创宇的加速乐忘了?没有啊。。。其实这个方法加速乐可以是可以,但是相对来说,利用起来很鸡肋。union select是绕过了,没法绕过后面的检测。

5ergdfvc.png


54yergdfxc.png

修复方案:

唉,写了半天。。。挨个通知修复过滤吧。。。

版权声明:转载请注明来源 从容@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:10

确认时间:2016-04-08 18:58

厂商回复:

CNVD未直接复现所述情况,已由CNVD通过软件生产厂商公开联系渠道向其邮件和电话通报。

最新状态:

暂无

漏洞评价:

评价

  1. 2016-04-06 21:51 | : ) ( 实习白帽子 | Rank:67 漏洞数:10 | 知足常乐,心态要好)

    前排留名。小白围观。

  2. 2016-04-06 21:54 | 子非海绵宝宝 认证白帽子 ( 核心白帽子 | Rank:1418 漏洞数:149 | 发扬海绵宝宝的精神!你不是海绵宝宝,你怎...)

    前排留名。小白围观。

  3. 2016-04-06 21:55 | 随风的风 ( 普通白帽子 | Rank:259 漏洞数:96 | 微信公众号:233sec 不定期分享各种漏洞思...)

    前排留名。小白围观。

  4. 2016-04-06 22:08 | thewind ( 普通白帽子 | Rank:149 漏洞数:37 | 古道无仙···)

    前排留名。小白围观。

  5. 2016-04-06 22:10 | f4ckbaidu ( 普通白帽子 | Rank:265 漏洞数:33 | 开发真是日了狗了)

    前排留名。小白围观。

  6. 2016-04-06 22:13 | 从容 ( 普通白帽子 | Rank:415 漏洞数:99 | 别摸我,我怕热…… | Tr3jer@Gmail.com ...)

    妈的。。。重新编辑三次了!!!bypass的姿势一贴上来把后面的内容都截断了。。。

  7. 2016-04-06 22:13 | y1ngz1 ( 路人 | Rank:23 漏洞数:5 | 一起交流,一起学习~ email:y1ng@jdsec.c...)

    前排留名。小白围观。

  8. 2016-04-06 22:18 | huoji ( 实习白帽子 | Rank:60 漏洞数:17 | 目标是当个农民)

    前排围观

  9. 2016-04-06 22:19 | 孤梦° ( 普通白帽子 | Rank:151 漏洞数:52 )

    前排留名。小白围观。

  10. 2016-04-06 22:26 | acai ( 路人 | Rank:2 漏洞数:1 | 请输入个人的简要介绍)

    前排留名。小白围观。

  11. 2016-04-06 22:57 | Fu地魔 ( 路人 | Rank:20 漏洞数:8 | 无声无息)

    小生路过

  12. 2016-04-06 23:07 | 奈何彼岸 ( 普通白帽子 | Rank:140 漏洞数:49 | 乌云一下你就知道)

    厉害啊

  13. 2016-04-06 23:26 | 从容 ( 普通白帽子 | Rank:415 漏洞数:99 | 别摸我,我怕热…… | Tr3jer@Gmail.com ...)

    狗哥,重新编辑了@疯狗

  14. 2016-04-06 23:46 | phith0n 认证白帽子 ( 普通白帽子 | Rank:834 漏洞数:127 | 一个想当文人的黑客~)

    @从容 说起截断想起来wp那个utf-16,莫非是类似的字符

  15. 2016-04-06 23:56 | 从容 ( 普通白帽子 | Rank:415 漏洞数:99 | 别摸我,我怕热…… | Tr3jer@Gmail.com ...)

    @phith0n 没错,不过只是在bypass安全宝和360主机卫士用到了

  16. 2016-04-07 03:24 | 少宇 ( 实习白帽子 | Rank:72 漏洞数:20 | 所谓的江湖路,不过是,她道一句,初心勿忘,...)

    老牛逼了,前排出售瓜子!

  17. 2016-04-07 05:57 | 小白-x9 ( 路人 | Rank:8 漏洞数:4 | 欢迎加入SaFeBug-专注于安全漏洞 官方群 56...)

    前排围观

  18. 2016-04-07 06:33 | webhe4d ( 普通白帽子 | Rank:143 漏洞数:48 | 这世界上只有一种真正的英雄主义,就是在看...)

    后排站位

  19. 2016-04-07 07:00 | 高小厨 认证白帽子 ( 普通白帽子 | Rank:998 漏洞数:91 | 不会吹牛的小二不是好厨子!)

    表哥牛逼

  20. 2016-04-07 07:50 | 暗香疏影 ( 路人 | Rank:4 漏洞数:6 | 我感动哭了)

    后排站位

  21. 2016-04-07 08:18 | Vinc ( 普通白帽子 | Rank:383 漏洞数:58 | 提莫队长正在待命!)

    关注

  22. 2016-04-07 08:35 | 刘海哥 ( 普通白帽子 | Rank:135 漏洞数:30 | 索要联系方式但不送礼物的厂商定义为无良厂...)

    似乎在楼主的吐槽中好像知道了点什么。

  23. 2016-04-07 09:01 | 从容 ( 普通白帽子 | Rank:415 漏洞数:99 | 别摸我,我怕热…… | Tr3jer@Gmail.com ...)

    @刘海哥 你牛逼

  24. 2016-04-07 09:05 | 路人毛 ( 普通白帽子 | Rank:157 漏洞数:64 | 要想Rank给高,标题一定得屌)

    此处应该有$

  25. 2016-04-07 09:08 | sangfor.org ( 实习白帽子 | Rank:54 漏洞数:26 | 天下熙熙,皆为利来;天下攘攘,皆为利往...)

    此处应该打雷

  26. 2016-04-07 09:12 | 安全狗(乌云厂商)

    有意思,但愿你提交的这个没有场景要求,不然就鸡肋了。

  27. 2016-04-07 09:25 | 骑虎打狗 ( 路人 | Rank:19 漏洞数:9 | 我是中国式的 你懂得..)

    看了这个帖子,我特别想知道洞主挑了哪一款...

  28. 2016-04-07 09:38 | sm0nk ( 普通白帽子 | Rank:174 漏洞数:30 | all is well)

    666

  29. 2016-04-07 09:43 | 带我玩 ( 路人 | Rank:16 漏洞数:8 | 带我玩)

    后排占座

  30. 2016-04-07 09:45 | 从容 ( 普通白帽子 | Rank:415 漏洞数:99 | 别摸我,我怕热…… | Tr3jer@Gmail.com ...)

    @安全狗 没有

  31. 2016-04-07 09:51 | 带我玩 ( 路人 | Rank:16 漏洞数:8 | 带我玩)

    @安全狗 你这是想拉近你的客户么?

  32. 2016-04-07 10:51 | 安全宝(乌云厂商)

    @从容 大牛求绕过细节

  33. 2016-04-07 11:29 | HackBraid 认证白帽子 ( 核心白帽子 | Rank:1922 漏洞数:305 | 最近有人冒充该账号行骗,任何自称HackBrai...)

    装逼成功

  34. 2016-04-07 11:37 | 路人毛 ( 普通白帽子 | Rank:157 漏洞数:64 | 要想Rank给高,标题一定得屌)

    安全狗跟安全宝是亲兄弟么?

  35. 2016-04-07 13:02 | 紫霞仙子 认证白帽子 ( 普通白帽子 | Rank:2302 漏洞数:307 | 没好团队,啥都干不成!!!)

  36. 2016-04-07 15:10 | 寂寞的瘦子 ( 普通白帽子 | Rank:242 漏洞数:53 | ☯☯☯☯☯☯☯☯☯☯)

    牛逼牛逼~。-

  37. 2016-04-07 15:40 | waht000 ( 实习白帽子 | Rank:37 漏洞数:14 | 我还是太菜。。。)

    膝盖收好

  38. 2016-04-07 16:39 | Manning ( 普通白帽子 | Rank:1183 漏洞数:145 | https://github.com/manning23/MSpider)

    心跳加速

  39. 2016-04-07 20:00 | 采菇凉的小蘑菇 ( 路人 | Rank:4 漏洞数:2 | 孩子不哭 站起来撸)

    前排 围观 出售瓜子 饮料 花生米 买不起的手别碰啊

  40. 2016-04-07 20:37 | 隐形人真忙 ( 普通白帽子 | Rank:201 漏洞数:25 | ...)

    这个绕过 sqlmap里有

  41. 2016-04-07 20:41 | 从容 ( 普通白帽子 | Rank:415 漏洞数:99 | 别摸我,我怕热…… | Tr3jer@Gmail.com ...)

    @隐形人真忙 姿势1有,姿势2没有。

  42. 2016-04-07 21:35 | 隐形人真忙 ( 普通白帽子 | Rank:201 漏洞数:25 | ...)

    @从容 万变不离qizong

  43. 2016-04-07 21:38 | 从容 ( 普通白帽子 | Rank:415 漏洞数:99 | 别摸我,我怕热…… | Tr3jer@Gmail.com ...)

    @隐形人真忙 说的跟真事似的哈哈,

  44. 2016-04-08 08:45 | 安全狗(乌云厂商)

    @从容 没有过from,比较可惜

  45. 2016-04-08 11:16 | 从容 ( 普通白帽子 | Rank:415 漏洞数:99 | 别摸我,我怕热…… | Tr3jer@Gmail.com ...)

    @安全狗 only safedog

  46. 2016-04-08 13:15 | 懒懒滴1994 ( 实习白帽子 | Rank:65 漏洞数:25 | 偶尔是个乖乖仔,不作恶,世界从来没有安全...)

    @从容 papapa

  47. 2016-04-08 22:56 | AgeloVito ( 实习白帽子 | Rank:31 漏洞数:6 | Just do what i love, enjoy it and try my...)

    后排占位。小白围观。

  48. 2016-04-09 06:50 | autO_pw ( 实习白帽子 | Rank:81 漏洞数:25 | o_O``)

    小白特地赶来围观。

  49. 2016-04-11 21:17 | 灰灰灰阔 ( 路人 | Rank:14 漏洞数:3 | 好好学习)

  50. 2016-05-31 09:43 | 美食家L ( 实习白帽子 | Rank:99 漏洞数:13 | http://bbs.404.so 和朋友一起开的论坛 .没...)

    后排围观

  51. 2016-06-12 19:08 | Hancock 认证白帽子 ( 普通白帽子 | Rank:578 漏洞数:96 | ‮kcocnaH)

    emoji....Omz

  52. 2016-06-13 00:50 | FireC@t ( 路人 | Rank:0 漏洞数:1 | perl艺术家。)

    23232223

  53. 2016-06-13 01:45 | niexinming ( 普通白帽子 | Rank:331 漏洞数:55 | 好好学习,天天日站)

    师傅威武

  54. 2016-06-13 15:58 | 乌云首席鉴黄师 ( 路人 | Rank:23 漏洞数:6 | 这个人很懒,什么也没留下。)

    围观

  55. 2016-06-13 16:25 | 愚蠢的两脚兽 ( 路人 | Rank:8 漏洞数:4 | 么么哒)

    围观,太6

  56. 2016-06-14 12:55 | FSociety ( 路人 | Rank:6 漏洞数:3 | 即将毕业(失业)的迷茫。)

    我就过来看看有多少人围观...

  57. 2016-06-14 21:58 | U神 ( 核心白帽子 | Rank:1415 漏洞数:157 | 乌云核心菜鸟,此号长期由联盟托管,如果近...)

    @从容 表情怎么输上去的?

  58. 2016-06-16 11:06 | 立志成为厨神的男人 ( 路人 | Rank:15 漏洞数:1 | 我饿了)

    瓜子饮料方便面

  59. 2016-06-16 14:16 | 醉入红尘梦 ( 路人 | Rank:5 漏洞数:3 | 我白了)

    级别不够,看来要找漏洞了

  60. 2016-06-21 10:17 | dragon110 ( 路人 | Rank:12 漏洞数:6 | 其实我是龙6)

    啥时候才能看到呐。。等吧。

  61. 2016-06-28 00:41 | Eason13 ( 普通白帽子 | Rank:223 漏洞数:75 | 你好,我是Eason)

    emoji给跪了

  62. 2016-06-28 09:41 | 美食家L ( 实习白帽子 | Rank:99 漏洞数:13 | http://bbs.404.so 和朋友一起开的论坛 .没...)

    提醒:级别足够但是无法查看 Rank 高于自己的白帽子漏洞 ( 可以等待进一步公开或者支付 5 个乌云币提前查看

  63. 2016-06-29 10:25 | 大亮 ( 普通白帽子 | Rank:401 漏洞数:74 | 小段子手)

    emoji 都能用到这上面,在下佩服大神独特(猥琐)的思路。

  64. 2016-07-01 15:26 | Hckmaple ( 普通白帽子 | Rank:289 漏洞数:67 | ~~~)

    emoji表情没法粘贴到地址栏怎么办

  65. 2016-07-01 15:33 | ( 普通白帽子 | Rank:283 漏洞数:74 | ❤)

    @从容 win系统怎么把emoji符号打到浏览器里?

  66. 2016-07-01 16:04 | 美食家L ( 实习白帽子 | Rank:99 漏洞数:13 | http://bbs.404.so 和朋友一起开的论坛 .没...)

    提醒:级别足够但是无法查看 Rank 高于自己的白帽子漏洞 ( 可以等待进一步公开或者支付 5 个乌云币提前查看 确定支付并查看 )

  67. 2016-07-01 17:36 | 从容 ( 普通白帽子 | Rank:415 漏洞数:99 | 别摸我,我怕热…… | Tr3jer@Gmail.com ...)

    @Hckmaple @❤ urlencode

  68. 2016-07-01 23:52 | ( 普通白帽子 | Rank:283 漏洞数:74 | ❤)

    @从容 %F0%9F%98%83?这样?如:login.jsp?id=admin%20union%20select#%F0%9F%98%83%F0%9F%98%83%F0%9F%98%83%F0%9F%98%83%F0%9F%98%83%F0%9F%98%83%F0%9F%98%83%F0%9F%98%83%F0%9F%98%83%F0%9F%98%83%F0%9F%98%83%F0%9F%98%83%F0%9F%98%83%F0%9F%98%83%F0%9F%98%83%F0%9F%98%83%F0%9F%98%83%F0%9F%98%83%F0%9F%98%83%F0%9F%98%83%F0%9F%98%83%F0%9F%98%83%F0%9F%98%83%F0%9F%98%83%F0%9F%98%83%F0%9F%98%83%F0%9F%98%83%F0%9F%98%83%F0%9F%98%83%F0%9F%98%83%F0%9F%98%83%F0%9F%98%83%F0%9F%98%83%F0%9F%98%83%F0%9F%98%83%F0%9F%98%83%F0%9F%98%83%F0%9F%98%83%F0%9F%98%83%F0%9F%98%83%F0%9F%98%83%F0%9F%98%83%F0%9F%98%83%F0%9F%98%83%F0%9F%98%83%F0%9F%98%83%F0%9F%98%83%F0%9F%98%83%F0%9F%98%83%F0%9F%98%83%F0%9F%98%83%F0%9F%98%83%F0%9F%98%83%F0%9F%98%83%F0%9F%98%83%F0%9F%98%83%F0%9F%98%83%F0%9F%98%83%F0%9F%98%83%F0%9F%98%83%F0%9F%98%83%F0%9F%98%83%F0%9F%98%83%F0%9F%98%83%F0%9F%98%83%F0%9F%98%83%F0%9F%98%83%F0%9F%98%83%F0%9F%98%83%F0%9F%98%83%F0%9F%98%83%F0%9F%98%83%F0%9F%98%83%F0%9F%98%83%0Auser(),version()