当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0140263

漏洞标题:福建中金在线sql注入漏洞过滤不严

相关厂商:福建中金在线网络股份有限公司

漏洞作者: 路人甲

提交时间:2015-09-11 10:46

修复时间:2015-10-26 16:44

公开时间:2015-10-26 16:44

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-09-11: 细节已通知厂商并且等待厂商处理中
2015-09-11: 厂商已经确认,细节仅向厂商公开
2015-09-21: 细节向核心白帽子及相关领域专家公开
2015-10-01: 细节向普通白帽子公开
2015-10-11: 细节向实习白帽子公开
2015-10-26: 细节向公众公开

简要描述:

过滤不严格,绕过进行注入

详细说明:

测试发现http://house.cnfol.com/inner/RealEstate.shtml?name=%E9%98%B3%E5%85%89%E5%9F%8E%E9%87%91%E8%9E%8D%E8%A1%97%E5%AE%98%E9%82%B8&area=%E5%8F%B0%E6%B1%9F%E5%8C%BA&id=231 id存在sql注入
我们对客户端经源码进行分析发现,上述url调用如下接口进行查询返回数据:

cnfol1.png


loaddatatable函数:

get.png

漏洞证明:

我们调用其中的一个接口http://app.cnfol.com/dataapi/index.php/welcome/table/housemsg/118/1/1/id/desc/id=231/0/1/Ua/dichan?jsoncallback=jQuery1610525144204032528_1441865283502&_=1441865353001进行sql注入,发现服务端过滤逗号:

3.png


使用mid(user()from(1)for(1))代替mid(user(),1,1),成功获取数据:

2.png


对此,写了poc进行盲注,获取用户名fol_show@172.20.6.203:

cnfol.png


进一步,如下其他接口也存在sql注入,其注入方法与上述一样:
http://app.cnfol.com/dataapi/index.php/welcome/table/housedetails/118/1/1/id/desc/id=231/0/1/Ub/dichan?jsoncallback=jQuery1610525144204032528_1441865283503&_=1441865353003
http://app.cnfol.com/dataapi/index.php/welcome/table/houseRel/119/8/1/id/desc/id_118=231,id_120=1/0/1/A1/dichan?jsoncallback=jQuery1610525144204032528_1441865283504&_=1441865353005
http://app.cnfol.com/dataapi/index.php/welcome/table/housemsg/118/1/1/id/desc/id=231/0/1/Ua/dichan?jsoncallback=jQuery1610525144204032528_1441865283502&_=1441865353001
http://app.cnfol.com/dataapi/index.php/welcome/table/houselocation/118/6/1/id/desc/area=%E5%8F%B0%E6%B1%9F%E5%8C%BA/0/1/Sh/dichan?jsoncallback=jQuery1610525144204032528_1441865283508&_=1441865353010

修复方案:

修复

版权声明:转载请注明来源 路人甲@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2015-09-11 16:42

厂商回复:

感谢提供漏洞信息,会尽快处理掉。

最新状态:

暂无