### 简要描述:
最近很喜欢从已公开的漏洞中找漏洞,看看哪些厂商修复的时候不够仔细认真。。。
### 详细说明:
缘起这个漏洞 [WooYun: 金蝶网重要分站sql注射漏洞](http://www.wooyun.org/bugs/wooyun-2014-070915) ,之前报的是显错注入,乍一看厂商好像已经修复了,实际测试之后发现还是可以盲注的,但是需要多参数配合进行注入。
漏洞所在分站:http://reg.kingdee.com/getpass.asp
产品注册页面,表单提交的数据如下:
[<img src="https://images.seebug.org/upload/201412/151229488411c2da4baecf375746b2dafb1a20de.jpg" alt="11.JPG" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201412/151229488411c2da4baecf375746b2dafb1a20de.jpg)
由于不知道真实的产品序列号和email,所以没办法定位条件为真时的数据,刚好有两个参数,两个参数都存在注入,所以可以让userid永真,payload为userid=1212121'%0aor%0a'1'='1,这样email就可以正常进行基于and的布尔盲注了。
看图:
[<img src="https://images.seebug.org/upload/201412/15123441d38e9cdb8f7e3837adcb55ed5a70342c.jpg" alt="12.JPG" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201412/15123441d38e9cdb8f7e3837adcb55ed5a70342c.jpg)
网站有狗和360webscan,所以sqlmap跑不了,只能手工作业了。
判断用户名长度为3:
[<img src="https://images.seebug.org/upload/201412/15123601f6f870e2d61561f83360165cdb16cb15.jpg" alt="14.JPG" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201412/15123601f6f870e2d61561f83360165cdb16cb15.jpg)
然后通过
email=qq%40qq.com'%0aand%0aascii(substr(SYS_CONTEXT('USERENV','CURRENT_USER'),1,1))=1%0aAND%0a'qX'='qX
逐位判断,不多说,大家都懂的。
### 漏洞证明:
以上,求高分
京公网安备 11010502034610号
暂无评论