万普世纪开发(或者只是负责运维)的一款手机应用(魂斗罗30命。。)在拉取用户积分时所使用的URL存在SQL注入。可导致执行系统命令。
万普世纪开发(或者只是负责运维)的一款android手机手机游戏(魂斗罗30命S弹版)在拉取用户积分时所使用的URL对其中的一个参数没有检测,存在SQL注入。且为sysadmin权限。
可以获得 数据库 版本,操作系统版本,内网信息;
获得/修改用户信息
执行系统命令,直至控制整个内网。
搭建好手机android 抓包环境后,得知拉取用户积分信息所使用的关键URL为:
http://app.wapx.cn/action/account/getinfo?udid=*********&app_id=********
对此进行测试,发现没有对app_id进行过滤。
step1: 正常访问
step2: 参数加单引号
step3: 万能的 and 1=1 判断
至此,可以确定对方存在SQL注入。接下来判断数据库版本
step4: @@version判断
可以看到,数据库版本信息
step5: 下面判断当前权限
延伸:
app_id为应用程序ID,这个参数有问题,说明这个公司开发或者运维的其他所有应用都存在此问题。
修复方案:
1. 对参数进行严格检查。
2. SQL数据库不要以sysadmin权限运行
3. 获取积分的操作页面进行 加密 。
查看更多关于“魂斗罗”手机应用程序SQL注入及修复 - 网站安的详细内容...
声明:本文来自网络,不代表【好得很程序员自学网】立场,转载请注明出处:http://haodehen.cn/did14519