UDN-企业互联网技术人气社区

板块导航

浏览  : 1469
回复  : 0

[讨论交流] 如何绕过WAF进行sql注入

[复制链接]
哥屋恩的头像 楼主
发表于 2016-5-28 20:16:27 | 显示全部楼层 |阅读模式
  关于SQL注入

  SQL注入是一种常见的入侵WEB应用的手法。SQL注入是利用应用系统的编程漏洞和SQL语言的语法特征,改变原始的SQL语句执行逻辑而产生的。

  攻击者向Web应用发送精心构造的输入数据,这些输入中的一部分被解释成SQL指令,改变了原来的正常SQL执行逻辑,执行了攻击者发出的SQL命令,最终使攻击者获取Web应用的管理员权限或者下载了Web应用存到数据库中的敏感信息。

  SQL注入如何实现

  为了对本文进行更好的讲解,下面简单地对SQL注入的原理进行示例性说明。

  如下图是某网站的登录界面。

4.webp.jpg


  登陆界面中输入用户名:admin 密码admin1234。在Web应用程序后台会把输入和程序混合变成SQL命令去访问数据库。最终Web应用发给后台数据的SQL命令是:

  Select * from users where username = 'admin' and Password = 'admin1234'(这个形式)

  这个SQL查询要求数据库检查“用户表”中的每一行,提取出每条username列为admin和Password列值为admin1234的记录。如果数据库中WHERE后的条件满足。应用程序将为该用户建立一个通过验证的会话。(Web应用登陆成功)

  上面是正常登陆Web应用的过程。如果由于编程的不严谨,用户名或密码输入处存在SQL注入点,攻击者可以利用SQL注入绕过Web应用的登陆访问控制。例如攻击者在用户名处输入admin'-- 密码处可以输入任意值均可通过。

5.webp.jpg


  因为,后台实际的SQL语句将演变成:

  select * from users where username ='admin'--' and password ='123dq

  在SQL Server中“-”等于注释,由于加入了“—”上面的语句等价于

  select * from users where username= 'admin'

  也就是说只要有用户名为admin。攻击者就可以直接用admin登入到应用系统中。

  当然SQL注入的用法远不止这一种,本文不做详述。

  绕过WAF的手段

  WAF简单说,就是解析HTTP请求,检验HTTP中参数是否存在攻击行为;若存在,则触发攻击行为。

  主要有两种主流的的方式绕过WAF,一种是利用WAF可能存在的HTTP协议解析缺陷,另一种就是利用包装后的SQL命令,使WAF无法识别SQL注入。

  一般通过HTTP协议攻击的方式,有四种绕过WAF入侵的手法:

  (1)断包绕过

  某些早期版本的WAF不具备把TCP断包组合成完整TCP包的能力。一旦攻击者发送的HTTP请求包是断包,WAF将无法正常处理不完整的HTTP请求包。如果这些请求包中含有SQL注入语句就可以直接绕过WAF,进入web应用组成SQL注入语句。

  (2)缓冲区溢出

  现在的WAF产品基本都具备了对HTTP协议中参数的解析能力。但是攻击者如果故意在参数中写入过长的占位内容+shellcode,这时如果WAF产品自身对参数检验不够严格的话,则有可能导致缓冲区溢出的发生。例如改变id=1的输入为id=1 and select 0xAAAAAAAAAAA...(1000个以上)+shellcode的模式。攻击者可能会利用这种入侵手段,绕过WAF进而入侵到应用系统内部。

  (3)协议不兼容

  还有一种方式就是向WEB服务器发送畸形的,而非RFC2616标准的HTTP请求,这时WEB服务器可能出于兼容的目的,会尽可能解析畸形的HTTP请求,这种情况下如果WAF和WEB兼容的方式不一致则可能出现绕过现象。例如一个请求没有协议字段、没有HOST字段,apache默认会把HTTP协议作为0.9版本处理,HOST默认使用apache自身的servername。WAF出于兼容的目的,这时候未必能和web服务器上的server采取相同的策略。由于不同版本的HTTP有语法差异,这种情况就有可能绕过WAF进入系统内部。

  (4)参数污染

  参数污染简单说就是同名参数写多个,WAF往往只检查第一个参数。但服务器具体用哪个参数,策略是不相同的。

6.webp.jpg


  例如:xxx. php?id=0&id=7%20union%20select%201,2,3,current_user是个明显的SQL注入。WAF解析id=0 这一看就是合法的,但PHP解析得到的确是 id=7 union select .....却是个注入语句。不同的server有不同的解析方式,这个时候WAF很有可能被绕过。

  通过SQL命令包装的方式绕过WAF,是利用WAF在进行SQL命令的防御的核心技术正则匹配的缺陷。这种技术,一般通过4种匹配事变的方式进行方式::

  1、 识别SQL语句的关键保留字,如select from,union select,drop table,into outfile等。

  2、识别DBMS的内建函数,如version(),load_file(),sleep(),benchmark()等

  3、识别DBMS内建变量,如@@version等。

  4、识别数据库所识别的内联注释,如/*!union*/ /*!select*/或/*!50000union*/等

  针对以上的防御手段,黑客们总结出了一些绕过WAF的攻击手段,比如:

  (1)大小写绕过

  最简单基础的一种绕过方式比如关键字SELECT早期由于正则匹配规则不健全SElect 是无法分辨出是SELECT 的导致WAF绕过,而后面的数据库则会正确解析成SELECT。

  (2)编码绕过

  在大小写绕过的基础上开始出现编码绕过。主要有三种:URL编码、十六进制编码、Unicode编码。在浏览器中输入URL会进行一次URL编码,黑客会通过多次编码来进行WAF绕过。例如:Id.php?id=1%2520union/**/select ,数据库得到的Id.php?id=1 union/**/select。如果只解码一次得到的是Id.php?id=1%20union/**/select,就有可能绕过WAF入侵数据库。这个问题可以采用多次循环解码来处理。其中Unicode编码种类很多,如果只是基于黑名单过滤,无法处理全部情况,从而也可以实现WAF的绕过。其中UTF-32编码曾经实现过对GOOGLE的绕过。

  (3)注释绕过

  不但可以采用编码改写关键字,还可以采用注释改写关键字,避免正则匹配。例如

  z.com/index.php?page_id=-15 %55nION/**/%53ElecT 1,2,3,4'union%a0select pass from users# 。就是用符号编码代替一部分字母和判定的空格来逃避正则匹配。(selectxxx不会被拦截,因为可能是函数名等。select 空格xxx则一定会被拦截,去掉空格成为绕过的关键)。同样还有针对MYSQL版本的/*!5000union*/系列。

  (4)等价替换

  等价替换是个比较大的分类,主要可以分为等价函数、等价符号、特数符号、比较符号等4类

  等价函数,就是同功能函数替换。WAF禁止了一些函数,但对另外一些函数没有禁止例如Substring()可以用mid(),substr()这些函数来替换,还可以采用生僻函数迂回完成原函数的功能,这些都可能成功实现WAF关键字绕过。and or 这种关键字在PHP中可以用|| 和&&代替,语句id=1 or 1=1就可以写成id=1 || 1=来进行绕过。同样,= 、>、<等都可以代替等号进行绕过。

  除去绕过关键字和关键符号外,最关键的是绕过空格。想各种方式避免空格出现。

  例如原句 id=1 or 1=1

  可以写成:

  id=1+or+1=1

  id=1%0bor%0b1=1

  id=1--s%0aor--s%0a1=1

  id=1/*!or*/1=1

  id=1()or(1=1)等多种形式进行尝试绕过

原文作者:思成 来源:开发者头条

相关帖子

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

关于我们
联系我们
  • 电话:010-86393388
  • 邮件:udn@yonyou.com
  • 地址:北京市海淀区北清路68号
移动客户端下载
关注我们
  • 微信公众号:yonyouudn
  • 扫描右侧二维码关注我们
  • 专注企业互联网的技术社区
版权所有:用友网络科技股份有限公司82041 京ICP备05007539号-11 京公网网备安1101080209224 Powered by Discuz!
快速回复 返回列表 返回顶部