[Owasp-turkey] DoS attacks using SQL Wildcards

Ferruh Mavituna ferruh at mavituna.com
Thu May 22 04:12:18 EDT 2008


Merhaba,

20 sn. harikaymis, ek olarak bu kadar cabuk etkisini gormus olmaniz da
harika.

. Aramanin hangi field'lar da yapildigi. Mesela metin (text,
> blob) sutunlarda arama yapiliyorsa yukaridaki gecerli. Sadece varchar(~50)
> gibi sutunlarda arama yapan yerlerde (ASP.NET->MSSQL) bu teknikleri kararli
> kullanamadim simdiye kadar. Hatta bu farkliliga gore bile payloadlar
> degistirilebilir. Belki fuzzer gibi bisey kullanmak lazim.


Arama field i cok kritik acikcasi ben hic bir (n)varchar alanda adam gibi
sonuc alamadim, pek mumkun oldugunu da sanmiyorum, eger sonuc alabilen
olursa duymak isterim, belki bir yolu vardir.

Bu arada senin payload' da guzelmis, ben de bilinen ve onceden calistigi
gorulen payloadlarin bir listesini yapmaya basladim daha sonradan bu listeyi
fuzzerlar ile kullanabiliriz ve islemi otomasyona dokebiliriz.

2008/5/22 Bedirhan Urgun <urgunb at hotmail.com>:

>
> Merhaba,
> Dun ve bugun test ettigimiz sistemlerde, Ferruh'un makalesindeki teknikleri
> denedik.
>
> Yazida da belirttigi gibi en onemli nokta "denemek". Cunku her payload
> (sorgu bolumu) her durumda iyi sonuclar vermiyor. Yeni bi tane bulmak
> gerekebiliyor. Mesela bi sayfada asagidaki yeni payload tek istekte ~20sn
> tutuyor, character negation trick ;)
>
> %n[^n]y[^j]l[^k]d[^l]h[^z]t[^k]b[^q]t[^q][^n]!%
>
> Ama onemli olan bi nokta daha var. Aramanin hangi field'lar da yapildigi.
> Mesela metin (text, blob) sutunlarda arama yapiliyorsa yukaridaki gecerli.
> Sadece varchar(~50) gibi sutunlarda arama yapan yerlerde (ASP.NET->MSSQL) bu
> teknikleri kararli kullanamadim simdiye kadar. Hatta bu farkliliga gore bile
> payloadlar degistirilebilir. Belki fuzzer gibi bisey kullanmak lazim.
>
> bedirhan
>
> ------------------------------
> Date: Tue, 20 May 2008 15:03:16 +0100
> From: ferruh at mavituna.com
> To: urgunb at hotmail.com
> Subject: Re: [Owasp-turkey] DoS attacks using SQL Wildcards
> CC: owasp-turkey at lists.owasp.org
>
>
> Merhabalar,
>
> Tesekkurler Bedirhan, paylastiginiz nokta ilgincmis benim modsecurity hic
> aklima gelmemisti o sirada. Ek olarak payload cok daha farkli sekillerde de
> yapilabilir, senin gosterdigin ve buldugunuz yontem de bunun gibi.
>
> Mesela benim gene dokumanda verdigim basit bir ornek var : _[r/a)_ _(r/b)_
> _(r-d)_
>
> Gayet kisa ve benim testimdeki bir web forum yaziliminda 30+ sn. suruyor
> calismasi :), yazilim detaylarini burada veremiyorum, kendilerine de acik
> olarak bildirdim zaten ama sadece durumun vehametini ortaya koymak adina. Bu
> yazilimda mesela 15 karakter gibi bir limit vardi, ama ona ragment
> yukaridaki basit arama yetti.
>
> Bu arada karsimiza geldiginde bypass edebilmek icin bu double encoding
> olayini akilda tutmak lazim.
>
> 2008/5/20 Bedirhan Urgun <urgunb at hotmail.com>:
>
>
>  merhaba,
> tebrik ederim Ferruh.
>
> Yazidaki teknik ile alakali olarak bugun Yusuf Çeri ile farkettigimiz bi
> noktayi paylasmak istedim. Eger modsecurity ile korunan sisteminiz (veya
> baska bir WAF), yazida belirtilen asagidaki payloadu reddiyorsa
>
> '%_[^!_%/%a?F%_D)_(F%)_%([)({}%){()}£$&N%_)$*£()$*R"_)][%](%[x])%a][$*"£$-9]_%'
>
>
> bu saldiriya acik degiliz anlamina gelmiyor. Yukaridaki payload'un basit
> bir bypass teknigi uygulanmis hali;
>
>
> '%64_[^!_%65/%aa?F%64_D)_(F%64)_%36([)({}%33){()}£$&N%55_)$*£()$*R"_)][%55](%66[x])%ba][$*"£$-9]_%54'
>
> Yani payloaddaki % yerine gecerli bir url encoded karakter giriliyor (ascii
> 32'den buyuk olmasi daha iyi cunku 0-32 [non-printables] arasi reddediliyor
> olarak ayarlanmis olabilir ilgili WAF'da).
>
> Peki arkada donen ne? modsec hatirladigim kadari ile "double encoding"
> saldirilarini engellemek icin aldigi input'u bir daha decode edip, URL
> denetimini bir daha gercekliyor. Ve boylece mesela
>
> %a -> %25a -> modsec -> %25a (gecerli URL encoding) -> %a (*gecersiz *URL
> encoding) = istek reddedilir
>
> ama by-pass teknigi ile
>
> %aa -> %25aa -> modsec -> %25aa (gecerli URL encoding) -> %aa (*gecerli *URL
> ending) = istek onaylanir
>
>
> bedirhan
>
> ------------------------------
> Date: Mon, 19 May 2008 13:24:29 +0100
> From: ferruh at mavituna.com
> To: owasp-turkey at lists.owasp.org
> Subject: [Owasp-turkey] DoS attacks using SQL Wildcards
>
>
> Herkese Selamlar,
>
> Bir sure once uzerinde calistigim yazimi bitirdim ve yayinlayabildim,
> burada da hem paylasmak hem de konu hakkinda fikir almak istedim.
>
> Ozetle veritabanina sahip web uygulamalarin arama sayfalari ve benzer
> sayfalari kullanarak DoS saldirilari yapmanin yeni bir yolunu gosteriyor.
> Kritik nokta su ki inanilmaz sayida web uygulamasi bundan etkileniyor,
> dolayisiyla gelsitiricilerin ozellikle bir an once buna karsi onlem almali
> gerekli.
>
> Ikinci olarak penetration test yapan arkadaslarin da bu saldiriyi test
> metodolojilerine eklemeleri yerinde olacaktir. Insallah uzun vadede OWASP
> Guide da bu konuda bir seyler ekleyebiliriz.
>
> Maalesef henuz Turkcesi yok, yazi suradan download edilebilir:
>
> http://www.portcullis-security.com/uplds/wildcard_attacks.pdf
>
>
>
> Iyi Calismalar,
>
> --
> Ferruh Mavituna
> http://ferruh.mavituna.com
>
> ------------------------------
> E-mail for the greater good. Join the i'm Initiative from Microsoft.<http://im.live.com/Messenger/IM/Join/Default.aspx?source=EML_WL_+GreaterGood>
>
>
>
>
> --
> Ferruh Mavituna
> http://ferruh.mavituna.com
>
>
> ------------------------------
> Change the world with e-mail. Join the i'm Initiative from Microsoft.<http://im.live.com/Messenger/IM/Join/Default.aspx?source=EML_WL_ChangeWorld>
>



-- 
Ferruh Mavituna
http://ferruh.mavituna.com
-------------- next part --------------
An HTML attachment was scrubbed...
URL: https://lists.owasp.org/pipermail/owasp-turkey/attachments/20080522/63a8c1cd/attachment.html 


More information about the Owasp-turkey mailing list