2345某主要站点SQL注入影响所有用户数据影响N个同服网站数据（注入需绕过WAF）

开篇废话&渗透小思路&小技巧：（你们以为我真有时间写那么多字？其实我就想加个精华而已）

很久没有提交漏洞了，最近看到身边的朋友们都再挖大厂商漏洞，不是上首页就是打雷加精的漏洞，实在是逼格很高啊，我想了想，我也挖个大厂商的漏洞吧，于是有了下文。

最近在乌云很少看到详细说明思路的漏洞了，基本都是一点文字说明和几张图片，感觉这样不是很好，因为很多人来乌云最重要的目的之一就是学习！！！所以我更希望乌云有更多附加详细思路和说明的漏洞，方便大家学习，一起共同提高。

找这个漏洞找了几天，搞这个漏洞又搞了几天，原因是网站有WAF,网速卡 等等。。。

我身边有很多朋友比较鄙视用扫描器日站的人，认为用扫描器没啥水平。。。但是我始终认为用扫描器很是挺好的，因为确实能提高效率。我很多时候用扫描器并不是指望扫描器能扫出什么高危漏洞，最主要的还是信息收集，比如了解网站的目录结构，各种参数，指纹信息等等，然后再结合自己的经验手工验证或者为其他测试做前期准备。（其实我认为大神们也用扫描器的只不过是他们比较牛逼，能自己写扫描器或者按照需求自己写脚本而已）

看了2345以前的漏洞感觉厂商挺够意思，于是拿扫描器各种扫描以前已经公开的漏洞网站，然而除了误报的漏洞其他的都没什么收获，这个注入点是在结合扫描器的扫描结构和经历了各种测试以后才发现的，因为这个注入点是打不开网站的。

注入点：

http://game.2345.com/server/search/think.php?so=a  参数：so

如果你把这个注入点放入浏览器你会发现是空白页，然后并不影响注出数据。

手工测试感觉有搞的时候（本来想手工继续搞奈何水平有限。。。），于是放入了sqlmap中，但是没有成功。。。。只有屏幕一片红。。。。以前也经常用sqlmap但是很少去认真的研究过怎么用。直到遇到了这个又WAF的洞。

各种百度sqlmap绕过WAF的技巧：

http://www.cn-sec.com/drops//tools/4760

但是看了一下sqlmap的tamper文件夹，里面有几十个绕过脚本，网上又卡种不能一个一个实验吧，于是又各种百度技巧但是没有找到如何选择正确的绕过脚本，以前在乌云漏洞中也没有见到谁提到如果识别，于是这个问题又自己研究了半天，终于有了发现，原来就再sqlmap的姨妈红里面：

就是slqmap提示要加载这个space2comment.py脚本去尝试，于是我就成功注出数据了，这个也算是一个小技巧吧。

（上面的一些小思路和小技巧是写给需要的人的，大牛们自动忽略吧）

注入点：

http://game.2345.com/server/search/think.php?so=a  参数：so

通过注入得知数据库管理员为：

current user:  ''

里面很多表，包括管理员和用户的表，以及2345游戏论坛的bbs所有用户数据。

因为是2345主要的游戏网站，所以用户和表都很多，因为网速实在太慢了，就大概跑了一下。。。如图证明：

游戏网站用户数据：用户名，密码，邮箱，手机号，实在太慢了随便跑了一些。。。

拿其中一个用户登录演示：

用户名：hensonlei

密码MD5加密的，解密即可。

经过信息收集，发现很多网站都是共享这个数据库的！！！也就是同个服务器的网站，

查询了一下与

http://game.2345.com

同服的有十几个网站，这里列举个重要的

比如关于钱的点券，礼包，充值，游戏论坛BBS.......

还能直接进入游戏嗨起。。。

写了很多很久，厂商大哥给个20吧，为了跑你们的几个表，开机很久了，给点电费。

厂商回应：

危害等级：高

漏洞Rank：18

确认时间：2016-04-14 10:04

厂商回复：

感谢您对2345的关注，问题已修复，您说的用户信息是很久以前部分老用户是MD5加密的，修改过密码或者新用户不存在此问题，另外为表示感谢我们会给您寄去精美礼品一份，请注意是查收。

最新状态：

暂无

1. 2016-04-13 18:01 | Arrow ( 实习白帽子 | Rank:42 漏洞数:14 )

   1

   果然好逼

   1# 回复此人

2. 2016-04-13 18:04 | 库日天 ( 路人 | Rank:18 漏洞数:9 )

   1

   我一直以为大家都是来装逼的，没想到装逼的是我而已。

   2# 回复此人

3. 2016-04-13 18:21 | 黑吃黑 ( 普通白帽子 | Rank:165 漏洞数:32 | 不是因为看到了希望才去努力，而是努力了才...)

   1

   @浩天 @乌云小秘书 乌云欠我一个精华

   3# 回复此人

4. 2016-04-13 19:53 | 学习委员 ( 普通白帽子 | Rank:121 漏洞数:9 | 人生真是寂寞如雪！)

   1

   装得一手好逼

   4# 回复此人

5. 2016-04-13 19:55 | 天朝 ( 路人 | Rank:15 漏洞数:1 | too young too simple)

   1

   我一直以为大家都是来装逼的，没想到装逼的是我而已。

   5# 回复此人

6. 2016-04-14 10:22 | 紫霞仙子 ( 普通白帽子 | Rank:2302 漏洞数:307 | 没好团队，啥都干不成！！！)

   1

   请注意是查收。

   6# 回复此人

7. 2016-04-14 10:27 | 黑吃黑 ( 普通白帽子 | Rank:165 漏洞数:32 | 不是因为看到了希望才去努力，而是努力了才...)

   1

   @紫霞仙子 我语文不好不要这样

   7# 回复此人

8. 2016-04-14 13:35 | 多特(乌云厂商)

   1

   不好意思，多写了一个字，请注意查收

   8# 回复此人

9. 2016-04-15 00:12 | 小胖胖要减肥 ( 普通白帽子 | Rank:686 漏洞数:101 )

   1

   您说的用户信息是很久以前部分老用户是MD5加密的，修改过密码或者新用户不存在此问题 这个本身不是就说明存在问题了么，当时加salt密码以md5为基础进行转换不就好了，直接旧密码可以全部覆盖了，每个用户独立salt，举例 ：sha256（md5+salt），salt大于8位

   9# 回复此人

10. 2016-04-23 21:28 | 黑吃黑 ( 普通白帽子 | Rank:165 漏洞数:32 | 不是因为看到了希望才去努力，而是努力了才...)

    0

    @多特 礼物已经收到，非常精美！多谢！

    10# 回复此人

11. 2016-05-04 12:57 | 黑暗游侠 ( 普通白帽子 | Rank:1800 漏洞数:274 | 123)

    0

    @黑吃黑 “就是slqmap提示要加载这个space2comment.py脚本去尝试，于是我就成功注出数据了，这个也算是一个小技巧吧。” ------ 其实这不是技巧，是运气不错，因为那是e.g，是默认举的tamper例子而已，刚好成功了，总体不错，加油

    11# 回复此人

12. 2016-05-07 13:00 | 黑吃黑 ( 普通白帽子 | Rank:165 漏洞数:32 | 不是因为看到了希望才去努力，而是努力了才...)

    0

    @黑暗游侠 多谢大牛指点

    12# 回复此人

13. 2016-05-07 18:59 | 黑暗游侠 ( 普通白帽子 | Rank:1800 漏洞数:274 | 123)

    0

    @黑吃黑 我早已退出安全界

    13# 回复此人

14. 2016-05-08 00:15 | 黑吃黑 ( 普通白帽子 | Rank:165 漏洞数:32 | 不是因为看到了希望才去努力，而是努力了才...)

    0

    @黑暗游侠 我也不是安全界的，爱好而已。

    14# 回复此人

15. 2016-05-29 10:18 | Exploit DB ( 普通白帽子 | Rank:699 漏洞数:156 | 水能载舟，亦可覆舟。)

    0

    这个算最基础的绕WAF了 想达到精华差距还很大

    15# 回复此人