HanDs
NO.2

[7月漏洞公开] 北方网内容管理系统SQL注入 





学习中请遵循国家相关法律法规,黑客不作恶。没有网络安全就没有国家安全

本站需要登陆后才能查看

RT

详细说明:

@刺刺 感谢大牛带领挖洞~





1#:验证码设计缺陷导致可爆破



账号登录估计是这样的逻辑:

1. 同一个账号多次尝试,会被封禁30min

2. 同一个ip,多次尝试会出现验证码。



获取客户端的IP没有考虑XFF

1.png





基于IP地址来统计尝试次数的

使用XFF来伪造IP地址

可避免验证码爆破



将逻辑改一下:

我们一般破解是这样的

a 123

a 1234

a 123456

用户不变,试密码

我改成了

a 123

b 123

c 123

用户字典大一点,这样就不容易被封禁了



2#:后台注入



找到一处地方存在注入



注入点:/pub/m_user/userList.jsp?keyword=1%27&channel_id=2760600000000000

参数:keyword



ORA-00911: invalid character

Query: select * from (select tn_user.*,row_number() over(order by state desc,channel_id asc,true_name asc) r__ from tn_user where state in (0,1) and (user_name like '%'%' or true_name like '%'%') ) where r__>=1 and r__<=20 Parameters: []



注入点没任何过滤,可直接用注入工具跑



利用注入来注出root就可以为所欲为了。

漏洞证明:

引用刺刺大牛发布的漏洞:http://**.**.**.**/bugs/wooyun-2014-081724



以**.**.**.**:9001来做案例:



用top500简单测试一下



2.png





3.png





没一会结果就出来了,弱口令还是挺多的



登录进去 利用尝试注入



4.png





5.png





注入点到为止,不再深入~

修复方案:

你们懂得


学习中请遵守法律法规,本网站内容均来自于互联网,本网站不负担法律责任
北方
#1楼
发帖时间:2016-7-16   |   查看数:0   |   回复数:0
游客组