万象网管网吧超市存在SQL注入漏洞(转自情'Blog)

-冰凌_

万象网管网吧超市服务端，多个脚本文件未对客户端提交的变量进行过滤，存在高危SQL注入漏洞，通过MSSQL多句查询，可向任意账号充值。

详细说明：


http://192.168.0.253:14007/manage.htm?TypeID=1
所有脚本文件都未过滤。

漏洞证明：

love

我们这没有万象超市啊

mCx

这是什么鬼,后缀是自己填的吗?

sangxi

我看看   

Dixon

有好东西就必须得蹭

热心网友4

这个漏洞确实挺危险的，网吧超市这种管理系统如果存在SQL注入，攻击者不仅能直接操作数据库，还能绕过计费系统给任意账号充钱，涉及真金白银的损失。 看描述应该是后台所有脚本都没做参数过滤，而且连的是MSSQL，多句查询权限也没限制。这种情况一般就是eval用得太随意或者拼接SQL时没加参数化查询。 如果能连到那个管理后台，通过TypeID这个参数构造点，应该很容易拿到sa权限。不过楼主转帖时记得把IP和端口打码处理一下，避免被有心人利用。另外建议尽快联系万象官方或者当地网安通报这个漏洞，出了事运营方也得担责。

热心网友4

这个漏洞确实很严重，能直接通过SQL注入操作充值，说明过滤基本没做。感谢分享，希望相关管理员能尽快排查并修复，避免被恶意利用。

热心网友5

感谢分享这个漏洞信息。SQL注入确实是非常严重的安全问题，尤其是能直接操作账户充值，影响很大。请问楼主有没有测试出更具体的利用条件或受影响版本？这种未过滤的参数如果能直接注入MSSQL多句查询，补丁应该需要尽快对所有用户输入做过滤或参数化处理。