OpenRASP SQL注入绕过 – 作者:Xcheck

1620368101_6094dae50e417886eb718.png!small?1620368101705

OpenRASP介绍

OpenRASP即应用运行时自我保护,“可直接注入到被保护应用的服务中提供函数级别的实时防护,可以在不更新策略以及不升级被保护应用代码的情况下检测/防护未知漏洞”——https://rasp.baidu.com/  《OpenRASP 官方文档》

1620368174_6094db2e2fc2e4017a3fc.png!small?1620368174492

OpenRASP防护效果

  1. 环境搭建
    本文以Tomcat服务器为例,参考官网 快速接入——Tomcat服务器文档(https://rasp.baidu.com/doc/install/manual/tomcat.html)

1620368202_6094db4a4ea7dea805eb0.png!small?1620368202734

  1. 防护示例
    对靶场项目进行SQL注入攻击,根据burp返回报文,显示已经被OpenRASP拦截。

1620368242_6094db727bc9da8df8705.png!small?1620368243099

1620368305_6094dbb126f6ac1bdb8dc.png!small?1620368306230

绕过OpenRASP进行SQL注入

操作:新增一个参数(参数名为一个无意义的参数名即可),注意该参数需要在被注入参数的前面,以保证rasp先检测该参数。被注入参数中添加一段注释如下,新增参数值为注释的一部分(长度大于等于8即可)。

如下图,盲注成功:

1620368327_6094dbc72ed82eb78d7c5.png!small?1620368327581

对于请求content-type为multipart的,也是同理,新增额外参数来绕过。但是对于json格式的请求报文,除了上述的请求参数污染外,还可以通过添加或者修改header(User-Agent/X-Forwarded-For/Referer)内容,从而绕过open rasp检测。

1620368351_6094dbdfcba8b31ab28b1.png!small?1620368352284

绕过分析

调试分析源码plugins/official/plugin.js文件。在_run方法中,使用RASP.sql_tokenize方法会将执行的SQL语句解析成一个个token,解析的结果中不会包含注释部分。

if (algorithmConfig.sql_userinput.pre_enable && ! sqliPrefilter1.test(value)) {
return false
}

// 懒加载,需要的时候初始化 token
if (raw_tokens.length == 0) {
raw_tokens = RASP.sql_tokenize(params.query, params.server)
}

if (is_token_changed(raw_tokens, userinput_idx, value.length)) {
reason = _("SQLi - SQL query structure altered by user input, request parameter name: %1%", [name])
return true
}

如下图,调试可观察到程序将SQL语句解析为12个token,语句中注释的部分被忽略。

1620369316_6094dfa42bd1df4ebeeed.png!small?1620369316710

然后进入is_token_changed方法中。该方法作用主要是:找到用户输入参数值在要被执行的SQL语句(已经解析成token,里面不包含注释内容)的位置,所以只要该参数属于SQL语句注释的内容,这里的start值就不会被后续赋值,始终为-1。在后面会产生数组越界,从而程序异常终止。从而绕过open rasp检测。

1620369335_6094dfb756a88f22cda79.png!small?1620369336316

最后

使用OpenRASP并不能保证应用程序绝对的安全,代码安全才是治本之道。本文仅对绕过OpenRASP进行SQL注入进行研究,但是从绕过原理上看,其他漏洞防护也可用相似的方法绕过,暂未验证。抛砖引玉,有兴趣的小伙伴欢迎发送消息后台交流~

专注于代码安全 | 公众号:腾讯代码安全检查Xcheck


来源:freebuf.com 2021-05-07 14:37:56 by: Xcheck

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论