安全研究所 | 突破語(yǔ)義分析的黑魔法

其中基于弱規(guī)則詞法黑名單的算法被用于大家熟知的Libinjection，主要通過(guò)將用戶的輸入進(jìn)行Token化，然后再去匹配一份維護(hù)好了的SQL注入黑名單規(guī)則庫(kù)，從而有效發(fā)現(xiàn)SQL注入問(wèn)題。

其中各種輸入對(duì)應(yīng)詞法如下：

對(duì)于一些運(yùn)行時(shí)安全防護(hù)產(chǎn)品而言，由于運(yùn)行在應(yīng)用中，可以直接獲取到完整的SQL語(yǔ)句，語(yǔ)義分析的準(zhǔn)確率往往較高，而對(duì)于傳統(tǒng)流量型安全防護(hù)產(chǎn)品而言，由于只能獲取到流量中的用戶輸入?yún)?shù)，無(wú)法知道真實(shí)運(yùn)行的SQL語(yǔ)句是什么樣的，就需要額外的工作，大體分為兩類：

原理

巧用ODBC

ODBC是一個(gè)大部分SQL都支持的特性，官方介紹如下：

{identifier expr} is ODBC escape syntax and is accepted for ODBC compatibility. The value is expr. The { and } curly braces in the syntax should be written literally; they are not metasyntax as used elsewhere in syntax descriptions.

由于ODBC本身的自由性，可以構(gòu)造出很多非常復(fù)雜的SQL語(yǔ)句，從而導(dǎo)致語(yǔ)義分析很難進(jìn)行識(shí)別。

psql并不認(rèn)識(shí)轉(zhuǎn)義字符

幾乎大部分主流語(yǔ)義分析引擎、主流數(shù)據(jù)庫(kù)都將 \ 理解為轉(zhuǎn)義字符，但PSQL并不這么理解，對(duì) \ 理解上的差異使得繞過(guò)PSQL變得十分容易。

神奇的科學(xué)計(jì)數(shù)法

科學(xué)符號(hào)，特別是 e 符號(hào)，已被集成到包括 SQL 在內(nèi)的許多編程語(yǔ)言中。目前還不清楚這是否是所有 SQL 實(shí)現(xiàn)的一部分，但它是 MySQL/MariaDB 實(shí)現(xiàn)的一部分。當(dāng)e符號(hào)在無(wú)效的上下文中使用的時(shí)候，并不會(huì)導(dǎo)致SQL報(bào)錯(cuò)，而是會(huì)被SQL自行忽略，這就導(dǎo)致了SQL注入時(shí)的Payload可以通過(guò)大量無(wú)效科學(xué)符號(hào)來(lái)影響語(yǔ)義分析引擎對(duì)SQL語(yǔ)句的解析。

原理

大部分語(yǔ)義分析往往都是能夠識(shí)別出注釋，并在分析時(shí)省略注釋后面語(yǔ)句的分析，從而實(shí)現(xiàn)更好的性能，那么如果攻擊者能夠成功構(gòu)造出語(yǔ)義分析引擎認(rèn)為是注釋而實(shí)際數(shù)據(jù)庫(kù)并不認(rèn)為是注釋的特殊關(guān)鍵字，再把攻擊的Payload隱藏在注釋之后，就能成功欺騙語(yǔ)義分析，光明正大的進(jìn)行SQL注入。

萬(wàn)能注釋 //

存在不少語(yǔ)義分析引擎，在解析數(shù)據(jù)流的時(shí)候，會(huì)將 // 作為注釋處理，忽視后面的內(nèi)容，而大部分主流數(shù)據(jù)庫(kù)，并不將 // 作為注釋。

注釋結(jié)束符的差別

語(yǔ)義分析引擎 往往認(rèn)為 \r \n 都是注釋的結(jié)束符，但很多數(shù)據(jù)庫(kù)(MYSQL\ORACLE等)只認(rèn) 為 \n 是注釋結(jié)束符，利用注釋結(jié)束符理解的差異可以構(gòu)造繞過(guò)。

mybatis眼中的#

JAVA的mybatis框架會(huì)對(duì)用戶輸入的參數(shù)做一些特殊的處理，尤其針對(duì)形如 #{param} 這種寫法的數(shù)據(jù)的額外處理，會(huì)對(duì)語(yǔ)義分析造 成極強(qiáng)的欺騙性。

原理

除去讓很多開(kāi)發(fā)、安全人員熟知的關(guān)鍵字外，不少數(shù)據(jù)庫(kù)也擁有一些較為冷門的關(guān)鍵字，這些關(guān)鍵字在語(yǔ)義分析或詞法分析時(shí)很可能未能兼容，從而導(dǎo)致防護(hù)失效。因此，尋找冷門且有效的關(guān)鍵字也是繞過(guò)語(yǔ)義分析引擎的一種有效手段，尤其是針對(duì)新版本的數(shù)據(jù)庫(kù)，往往會(huì)出現(xiàn)一些新的關(guān)鍵字，這些關(guān)鍵字極有可能未被兼容。

handle替代select

MySQL 除了可以使用 select 查詢表中的數(shù)據(jù)，也可使用 handler 語(yǔ)句，這條語(yǔ)句使我們能夠一行一行的瀏覽一個(gè)表中的數(shù)據(jù)。它是 MySQL專用的語(yǔ)句，并沒(méi)有包含到SQL標(biāo)準(zhǔn)中。handler 語(yǔ)句由于可以查詢數(shù)據(jù)，因此也是SQL注入中一個(gè)十分方便且鮮為人知的關(guān)鍵字。

MEMBER OF函數(shù)

MEMBER OF()是一個(gè)MySQL8高版本特性，官方定義它是一個(gè)函數(shù)，但是這個(gè)函數(shù)的函數(shù)名中間還包含空格，十分具有欺騙性，雖然它對(duì)于注出數(shù)據(jù)并沒(méi)有什么幫助，但是放在注入Payload的前段以促使語(yǔ)義分析引擎解析失敗報(bào)錯(cuò)卻是一個(gè)很不錯(cuò)的選擇。