SQL Injection для eBay

       
 
Хронометраж подій:
 
     
  1. Дата обноруженія 19/05/2014
  2.  
  3. Дата баг-репорт eBay: 19/05/2014
  4.  
  5. Дата баг-фікса: 24/05/2014
  6.  
 
У процесі пошуку вразливостей на eBay, я випадково натрапив на домен 3.ebay.com.au / і його дзеркала imode.ebay.de / , imode.ebay.fr / . Схоже, що це був домен для користувачів телефонів старої " Трійки ", але я не впевнений. (Примітка: Трійка це мобільний оператор який був викуплений Vodafone)
 
На третьому рядку сторінки я знайшов посилання — «Категорії». У цьому розділі, було кілька випадаючих списків, в яких міститися «суб-категорії» товару (Той, хто раніше заходив на eBay, зрозуміє про що я).
 
Cразу стало ясно, що там буде використано кілька $ _GET параметрів, так що я просто поставив апостроф наприкінці першого параметра «emv_CatParent».
Фантастика, але повернулася не полная сторінка. Це означало, що переді мною був типовий blind SQL injection.
 
Далі в ході дослідження уразливості, я прийшов до висновку, що eBay використовують Microsoft SQL Server, і це стало для мене проблемою. Так як у мене немає досвіду роботи з MSDB, довелося використовувати sqlmap і робити все через нього.
 
Перше що я зробив — просканував параметр який я знайшов, щоб переконатися, що моє припущення було правильним.
 
І тут понеслося…
 
[INFO] GET parameter 'emv_CatParent' is 'Generic UNION query (NULL) - 1 to 10 columns' injectable

 
І це було не все:
 
[01:34:38] [INFO] GET parameter 'emv_CatParent' seems to be 'Microsoft SQL Server/Sybase stacked queries' injectable

 
А це означає, що була можливість читати і писати файли. Погортавши ще трохи імена колонок, я зупинив свої дослідження і пішов писати баг репорт.
 
Підбірка скроневої:
 
 

База даних «ebayDB»
 
 

Бази даних
 
 

Доступні таблиці в «ebayDB».
 
 

Спсіок колонок в «payment_old» таблиці.
 
 

Ні хешу для Admin користувача?… А ви я дивлюся ризикові хлопці.
 
 
 
ну і на останок лист від eBay.
 
 
 UPD.
Виправив дату баг фікса, спасибі ghosthope і MKrivosheev
  
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.