Merhaba,<br><br>20 sn. harikaymis, ek olarak bu kadar cabuk etkisini gormus olmaniz da harika.<br><br><blockquote style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;" class="gmail_quote">
. Aramanin hangi field&#39;lar da yapildigi. Mesela metin (text,
blob)&nbsp;sutunlarda arama yapiliyorsa yukaridaki gecerli. Sadece
varchar(~50) gibi sutunlarda arama yapan yerlerde (ASP.NET-&gt;MSSQL)
bu teknikleri&nbsp;kararli kullanamadim simdiye kadar. Hatta bu farkliliga
gore bile payloadlar degistirilebilir. Belki fuzzer gibi bisey
kullanmak lazim.</blockquote><div><br>Arama field i cok kritik acikcasi ben hic bir (n)varchar alanda adam gibi sonuc alamadim, pek mumkun oldugunu da sanmiyorum, eger sonuc alabilen olursa duymak isterim, belki bir yolu vardir.<br>
<br>Bu arada senin payload&#39; da guzelmis, ben de bilinen ve onceden calistigi gorulen payloadlarin bir listesini yapmaya basladim daha sonradan bu listeyi fuzzerlar ile kullanabiliriz ve islemi otomasyona dokebiliriz. <br>
</div><br><div class="gmail_quote">2008/5/22 Bedirhan Urgun &lt;<a href="mailto:urgunb@hotmail.com">urgunb@hotmail.com</a>&gt;:<br><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">




<div><br>Merhaba,<br>
Dun ve bugun test ettigimiz sistemlerde, Ferruh&#39;un makalesindeki teknikleri denedik.<br><br>
Yazida da belirttigi gibi en onemli nokta &quot;denemek&quot;. Cunku her payload (sorgu bolumu) her durumda iyi sonuclar vermiyor. Yeni bi tane bulmak gerekebiliyor. Mesela bi sayfada asagidaki yeni payload tek istekte ~20sn tutuyor, character negation trick ;)<br>

&nbsp;<br>
%n[^n]y[^j]l[^k]d[^l]h[^z]t[^k]b[^q]t[^q][^n]!%<br>
&nbsp;<br>
Ama onemli olan bi nokta daha var. Aramanin hangi field&#39;lar da yapildigi. Mesela metin (text, blob)&nbsp;sutunlarda arama yapiliyorsa yukaridaki gecerli. Sadece varchar(~50) gibi sutunlarda arama yapan yerlerde (ASP.NET-&gt;MSSQL) bu teknikleri&nbsp;kararli kullanamadim simdiye kadar. Hatta bu farkliliga gore bile payloadlar degistirilebilir. Belki fuzzer gibi bisey kullanmak lazim.<br>
<br>bedirhan<br>
<blockquote>
<hr>
Date: Tue, 20 May 2008 15:03:16 +0100<br>From: <a href="mailto:ferruh@mavituna.com" target="_blank">ferruh@mavituna.com</a><br>To: <a href="mailto:urgunb@hotmail.com" target="_blank">urgunb@hotmail.com</a><br>Subject: Re: [Owasp-turkey] DoS attacks using SQL Wildcards<br>
CC: <a href="mailto:owasp-turkey@lists.owasp.org" target="_blank">owasp-turkey@lists.owasp.org</a><div><div></div><div class="Wj3C7c"><br><br>Merhabalar, <br><br>Tesekkurler Bedirhan, paylastiginiz nokta ilgincmis benim modsecurity hic aklima gelmemisti o sirada. Ek olarak payload cok daha farkli sekillerde de yapilabilir, senin gosterdigin ve buldugunuz yontem de bunun gibi.<br>
<br>Mesela benim gene dokumanda verdigim basit bir ornek var : _[r/a)_ _(r/b)_ _(r-d)_ <br><br>Gayet kisa ve benim testimdeki bir web forum yaziliminda 30+ sn. suruyor calismasi :), yazilim detaylarini burada veremiyorum, kendilerine de acik olarak bildirdim zaten ama sadece durumun vehametini ortaya koymak adina. Bu yazilimda mesela 15 karakter gibi bir limit vardi, ama ona ragment yukaridaki basit arama yetti.<br>
<br>Bu arada karsimiza geldiginde bypass edebilmek icin bu double encoding olayini akilda tutmak lazim.<br><br>
<div>2008/5/20 Bedirhan Urgun &lt;<a href="mailto:urgunb@hotmail.com" target="_blank">urgunb@hotmail.com</a>&gt;:<br>
<blockquote style="padding-left: 1ex;">
<div><br>&nbsp;merhaba,<br>tebrik ederim&nbsp;Ferruh.&nbsp;<br>&nbsp;<br>Yazidaki teknik ile alakali olarak bugun Yusuf Çeri ile farkettigimiz bi noktayi&nbsp;paylasmak istedim. Eger modsecurity ile korunan sisteminiz (veya baska bir WAF),&nbsp;yazida belirtilen asagidaki payloadu reddiyorsa <br>
&nbsp;<br><font color="#ff0000" face="" size="1">&#39;%_[^!_%/%a?<font face="">F%_D</font>)_(F%)_%([)({}%){()}£$&amp;N%_)$*£()$*R&quot;_)][%](%[x])%a][$*&quot;£$-9]_%&#39; <br></font>&nbsp;<br>bu&nbsp;saldiriya acik degiliz&nbsp;anlamina gelmiyor. Yukaridaki payload&#39;un basit bir bypass teknigi uygulanmis hali;<br>
&nbsp;<br><font color="#3366ff" face="">&#39;%64_[^!_%65/%aa?F%64_D)_(F%64)_%36([)({}%33){()}£$&amp;N%55_)$*£()$*R&quot;_)][%55](%66[x])%ba][$*&quot;£$-9]_%54&#39;</font><br>&nbsp;<br>Yani payloaddaki % yerine gecerli bir url encoded karakter giriliyor (ascii 32&#39;den buyuk olmasi daha iyi cunku 0-32 [non-printables] arasi reddediliyor olarak ayarlanmis olabilir ilgili WAF&#39;da).<br>
<br>Peki arkada donen ne? modsec hatirladigim kadari ile &quot;double encoding&quot; saldirilarini engellemek icin aldigi input&#39;u bir daha decode edip, URL denetimini bir daha gercekliyor. Ve boylece mesela<br>&nbsp;<br>%a -&gt; %25a -&gt; modsec -&gt; %25a (gecerli URL encoding) -&gt; %a (<b>gecersiz </b>URL encoding) = istek reddedilir<br>
&nbsp;<br>ama by-pass teknigi ile<br>&nbsp;<br>%aa -&gt; %25aa -&gt; modsec -&gt; %25aa (gecerli URL encoding) -&gt; %aa (<b>gecerli </b>URL ending) = istek onaylanir<br>&nbsp;<br>&nbsp;<br>bedirhan<br>&nbsp;<br>
<hr>
Date: Mon, 19 May 2008 13:24:29 +0100<br>From: <a href="mailto:ferruh@mavituna.com" target="_blank">ferruh@mavituna.com</a><br>To: <a href="mailto:owasp-turkey@lists.owasp.org" target="_blank">owasp-turkey@lists.owasp.org</a><br>
Subject: [Owasp-turkey] DoS attacks using SQL Wildcards
<div>
<div></div>
<div><br><br>Herkese Selamlar,<br><br>Bir sure once uzerinde calistigim yazimi bitirdim ve yayinlayabildim, burada da hem paylasmak hem de konu hakkinda fikir almak istedim. <br><br>Ozetle veritabanina sahip web uygulamalarin arama sayfalari ve benzer sayfalari kullanarak DoS saldirilari yapmanin yeni bir yolunu gosteriyor.<br>
Kritik nokta su ki inanilmaz sayida web uygulamasi bundan etkileniyor, dolayisiyla gelsitiricilerin ozellikle bir an once buna karsi onlem almali gerekli.<br><br>Ikinci olarak penetration test yapan arkadaslarin da bu saldiriyi test metodolojilerine eklemeleri yerinde olacaktir. Insallah uzun vadede OWASP Guide da bu konuda bir seyler ekleyebiliriz.<br>
<br>Maalesef henuz Turkcesi yok, yazi suradan download edilebilir:<br><br><a href="http://www.portcullis-security.com/uplds/wildcard_attacks.pdf" target="_blank">http://www.portcullis-security.com/uplds/wildcard_attacks.pdf</a><br>
<br><br><br>Iyi Calismalar,<br clear="all"><br>-- <br>Ferruh Mavituna<br><a href="http://ferruh.mavituna.com/" target="_blank">http://ferruh.mavituna.com</a> <br><br></div></div>
<hr>
E-mail for the greater good. <a href="http://im.live.com/Messenger/IM/Join/Default.aspx?source=EML_WL_+GreaterGood" target="_blank">Join the i&#39;m Initiative from Microsoft.</a></div></blockquote></div><br><br clear="all">
<br>-- <br>Ferruh Mavituna<br><a href="http://ferruh.mavituna.com/" target="_blank">http://ferruh.mavituna.com</a> </div></div></blockquote><br><hr>Change the world with e-mail. <a href="http://im.live.com/Messenger/IM/Join/Default.aspx?source=EML_WL_ChangeWorld" target="_blank">Join the i'm Initiative from Microsoft.</a></div>

</blockquote></div><br><br clear="all"><br>-- <br>Ferruh Mavituna<br><a href="http://ferruh.mavituna.com">http://ferruh.mavituna.com</a>