Web5: SQL injection - Một số kỹ thuật vượt qua cơ chế lọc

1. Cắt bớt nội dung câu truy vấn

Trong trường hợp muốn lờ đi những đoạn script trong câu truy vấn. Ví dụ đối với đoạn xử lý dưới đây, trong câu truy vấn đòi hỏi điều kiện active=1 nhưng chúng ta có thể comment (--, -- -, -+, #, /*, /**/, //, ;%00…) và lờ nó đi. Khi khai thác chúng ta thường không biết nội dung còn lại của câu truy vấn làm công việc gì nên sử dụng comment trong trường hợp này rất hiệu quả.

Sau khi comment, truy vấn của chúng ta trở thành:

2. Bypass việc lọc các từ khóa

a. Inline Comment

Inline comment được sử dụng rất hiệu quả trong việc bypass lọc các khoảng trắng. Có thể sử dụng các kí tự sau để bypass lọc khoảng trắng: /**/, %20, %09, %0a, %0b, %0c, %0d, %a0). Ví dụ:

Hay bypass lọc các từ khóa (khả dụng với MySql). Trong ví dụ dưới đây, từ khóa union và password nằm trong blacklist nên đã bị chặn, chúng ta có thể bypass bằng cách:

b. Thay thế các từ khóa

Khi khai thác SQL injection chúng ta thường sử dụng những từ khóa như: union, select, information_schema... Nhiều trường hợp người lập trình chỉ đơn giản là thay thế những từ khóa đó đi:

Chúng ta dễ dàng nhận thấy rằng đoạn mã xử lý trên còn thiếu xót. Nếu đơn thuần chỉ là pattern matching thì cách bypass cực kỳ đơn giản. Chúng ta hãy áp dụng case sensitive, khi đó chữ viết hoa và viết thường được hiểu khác nhau.

Lúc này thay vì sử dụng từ khóa:

select, union… 

Chúng ta sẽ sử dụng:

SeLEcT, UniOn…

Cơ sở của cách bypass này là những hệ quản trị cơ sở dữ liệu không phân biệt hoa thường với những từ khóa.

Trong một số trường hợp, ứng dụng web sẽ lọc bỏ toàn bộ hay một phần từ khóa nào đó (union, select…). Ta sẽ bypass như sau:

id=1+uniunionon+SeLselectecT+1,2,3-- -

Sau khi union, select bị lọc bỏ bởi ứng dụng web, ta sẽ còn lại câu truy vấn đúng như sau:

id=1+union+SeLecT+1,2,3-- -

c. Character encoding

Chúng ta có thể bypass khi WAF (Web Application Firewall) chặn các từ khóa bằng cách encode chúng. Rất nhiều ứng dụng WAF sẽ chỉ decode truy vấn một lần và lọc bỏ các từ khóa trong blacklist, khi đó chúng ta hãy encode 2 lần request như vậy có thể bypass được trong trường hợp này.

3. Bypass chặn nháy đơn, nháy kép

- Chúng ta hãy xét một ví dụ trước khi tìm hiểu cụ thể cách bypass này.

Trong kịch bản này, chúng ta đã biết được một bảng trong cơ sở dữ liệu có tên là users. Công việc tiếp theo là phải biết được tên cột trong bảng để lấy được thông tin của nó. Như trong câu truy vấn trên, chúng ta sử dụng điều kiện: table_name='users'. Nhưng nếu cả dấu nháy đơn (') và dấu nháy kép (") đều bị WAF chặn thì chúng ta không thể sử dụng 'users' hay "users" được nữa. Vậy phải giải quyết vấn đề này như thế nào? Trong các hệ cơ sở dữ liệu built sẵn cho chúng ta function giải quyết rất tốt vấn đề này đó là hàm CHAR( ) (đối với Oracle là CHR()). Ví dụ trong câu truy vấn trên chúng ta sẽ bypass bằng cách:

Những lập trình viên php đều đã rất quen thuộc với hàm addslashes(). Hàm addslashes() có tác dụng thêm vào trước những ký tự đặc biệt như nháy đơn ('), nháy kép ("), backslash (\), NUL (null byte) ký tự "\" giúp hệ quản trị cơ sở dữ liệu không gặp khó khăn và nhầm lẫn khi xử lý chuỗi chứa các ký tự đó. Như vậy, khi chúng ta muốn inject vào câu truy vấn theo như kịch bản: name='someName' or '1'='1'-- thì kết quả không còn đúng như chúng ta mong đợi nữa.

Tuy vậy, đã có kỹ thuật giúp bypass hàm addslashes() để inject ký tự nháy đơn ('). Kỹ thuật này đã được public từ khá lâu, và để thực hiện kỹ thuật này cũng khá khó khăn vì nó bị ràng buộc với kiểu mã hóa áp dụng cho website.

4. Bypass lỗi "illegal mix of collation for operation UNION"

Trong một số hệ quản trị (thường thấy trong MySql), các database, các table khi đã được set collation thì khi sử dụng từ khóa UNION sẽ bị báo lỗi "illegal mix of collation for operation UNION". Việc thiết lập collation (đối chiếu font mã hóa) có thể do chủ định của người thiết kế cơ sở dữ liệu hoặc do được thiết lập mặc định của MySql. Trong trường hợp dùng union, chúng ta phải đảm bảo điều kiện giá trị select ở từng trường phải có kiểu mã tương ứng đã được định nghĩa. Theo mình đánh giá, lỗi này là khá phổ biến, đặc biệt đối với các CMS chạy Apache MySql. Mọi người có thể tìm hiểu thêm tại địa chỉ: http://bugs.mysql.com/bug.php?id=57926.
Trong trường hợp này chúng ta có thể sử dụng các cách convert thành kiểu mã hóa phù hợp.

Ví dụ trong trường hợp sau:

Trong câu truy vấn trên, nếu column1 đã được set collation là Unicode-UTF8 hay _latin1 chẳng hạn, thì những gì được select từ column2 sẽ phải được convert thành mã tương ứng. Ta có thể ép kiểu như sau:

Chúng ta có thấy nhược điểm trong cách bypass này là chúng ta phải biết được mã được collation là _latin1. Một cách bypass theo mình là tốt hơn đó là sử dụng hàm mã hóa và giải mã hex và unhex.

Có nhiều hàm khác có thể được sử dụng thay cho hex và unhex.