当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0123814

漏洞标题:饿了么某系统又一次绕过防护之SQL注入(附验证脚本)

相关厂商:饿了么

漏洞作者: 蓝冰

提交时间:2015-06-30 22:25

修复时间:2015-08-07 10:00

公开时间:2015-08-07 10:00

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:15

漏洞状态:厂商已经修复

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-06-30: 细节已通知厂商并且等待厂商处理中
2015-06-30: 厂商已经确认,细节仅向厂商公开
2015-07-10: 细节向核心白帽子及相关领域专家公开
2015-07-20: 细节向普通白帽子公开
2015-07-30: 细节向实习白帽子公开
2015-08-07: 厂商已经修复漏洞并主动公开,细节向公众公开

简要描述:

详细说明:

URL:http://fast.ele.me:89/login.do
饿了么OA系统移动端,绕过补丁继续注

屏幕快照 2015-06-30 21.50.29.png


失败

屏幕快照 2015-06-30 21.50.44.png


之前那个洞是用/**/绕过的 现在也不行了 但是....

屏幕快照 2015-06-30 21.51.02.png


不报错了,目测是匹配 空格and空格

屏幕快照 2015-06-30 21.51.50.png


嗯~~
上脚本

屏幕快照 2015-06-30 21.52.55.png


屏幕快照 2015-06-30 21.56.55.png


sysadmin' and(select(loginid) from hrmresourcemanager)='sysadmin' and'1'='1
这样select也能用啦 from where 这些无限制 过滤了select 用括号绕过
就是这样~

漏洞证明:

已证明

修复方案:

把单引号直接转义多好

版权声明:转载请注明来源 蓝冰@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2015-06-30 23:39

厂商回复:

问题已经确认,感谢你对饿了么安全的关注。

最新状态:

2015-08-07:泛微厂商已修复此漏洞。感谢对饿了么的关注!


漏洞评价:

评论

  1. 2015-06-30 23:29 | DloveJ ( 普通白帽子 | Rank:1107 漏洞数:200 | <a href=javascrip:alert('xss')>s</a> 点...)

    @lijiejie 定是你盗了蓝冰的号!!→_→

  2. 2015-06-30 23:33 | 蓝冰 ( 核心白帽子 | Rank:627 漏洞数:50 | -.-)

    @DloveJ 这都被你发现了 下一个该盗谁了 →_→

  3. 2015-06-30 23:40 | DloveJ ( 普通白帽子 | Rank:1107 漏洞数:200 | <a href=javascrip:alert('xss')>s</a> 点...)

    反正不盗我的就可以!!⊙▽⊙

  4. 2015-06-30 23:43 | 蓝冰 ( 核心白帽子 | Rank:627 漏洞数:50 | -.-)

    @DloveJ 哈哈

  5. 2015-07-01 08:59 | Y4ngshu ( 实习白帽子 | Rank:38 漏洞数:7 | 十年磨一剑。)

  6. 2015-08-07 10:37 | im503 ( 路人 | Rank:16 漏洞数:8 | 失踪的路人甲| Rank:-503 漏洞数:0 |爱pyth...)

    上py..

  7. 2015-08-10 09:40 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    泛微的啊?

  8. 2015-08-10 09:43 | 蓝冰 ( 核心白帽子 | Rank:627 漏洞数:50 | -.-)

    @wefgod 嗯嗯