漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2013-019116
漏洞标题:某会议系统SQL注入,可绕过后端验证登录任意注册用户
相关厂商:全国微波会议系统
漏洞作者: sunshine1988
提交时间:2013-02-25 11:03
修复时间:2013-04-11 11:03
公开时间:2013-04-11 11:03
漏洞类型:SQL注射漏洞
危害等级:中
自评Rank:6
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2013-02-25: 细节已通知厂商并且等待厂商处理中
2013-02-28: 厂商已经确认,细节仅向厂商公开
2013-03-10: 细节向核心白帽子及相关领域专家公开
2013-03-20: 细节向普通白帽子公开
2013-03-30: 细节向实习白帽子公开
2013-04-11: 细节向公众公开
简要描述:
后端登录验证存在SQL注入漏洞,可绕过验证登录任意注册用户的个人中心
详细说明:
全国微波毫米波会议:http://www.mws-cie.org/ncmmw2013/index.php
矮油,大牛们看到这个站点不要笑,其实这个站存在好多漏洞,xss、webshell、任意文件下载,实在是我这个菜鸟学习的好地方,顺便求个邀请码,希望在这里能和各位牛学习交流,共同进步~
一、确定后端登录验证机制:
登录使用email和password两个参数
构造email为
,返回“用户名和密码错误”
构造email永假值
,返回“Email不存在”
经过几次尝试与返回结果观察,后端应该不是直接同时使用email与password两个参数构造SQL查询看有无记录的,而是使用email查出用户信息,无记录则返回“Email不存在”,有记录则比对查询的密码与输入的密码,一致则成功,否则返回“用户名或密码错误”
二、构造注入参数,绕过验证机制:
自然想到了union查询,自己构造查询结果,然后password填入一致的值,即绕过验证了~
先确定查询列数,再确定password列的位置,经过几次尝试,构造了POST参数:
三、登录过程:
这个系统是使用一个默认的PHPSESSID的session cookie值来确定用户登录与否的,因此首先浏览器打开站点首页,就会生成这么一个session,利用它以及上面构造的登录参数,登录后,这个session就成了有效的了~
四:继续:
继续研究发现,查询结果的第二列即用户ID,且是从1开始递增的,因此改变这个值,就可以登录任意用户个人中心啦~
虽然SQL漏洞本身危害巨大,但是考虑这个站点的受众人群都是其专业内的,因此或许危害不大~ 但是被恶意黑客利用了,也是很蛋疼的~
漏洞证明:
修复方案:
过滤传来的参数~
系统还存在很多常见漏洞。。到处都是~
版权声明:转载请注明来源 sunshine1988@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:11
确认时间:2013-02-28 22:56
厂商回复:
CNVD确认并复现所述情况,已在26日由CNVD直接通过公开联系渠道联系网站管理方处置。
按部分影响机密性、可用性、完整性进行评分,基本危害评分7.48,发现技术难度系数1.1(手工注入),涉及行业或单位影响系数1.3,综合rank=10.696
最新状态:
暂无