SQL Injection для eBay

Хронометраж событий:

1. Дата обноружения 19/05/2014
2. Дата баг-репорта eBay: 19/05/2014
3. Дата баг-фикса: 19/05/2014

В процессе поиска уязвимостей на eBay, я случайно наткнулся на домен 3.ebay.com.au/ ^[1] и его зеркала imode.ebay.de/ ^[2], imode.ebay.fr/ ^[3]. Похоже, что это был домен для пользователей телефонов старой "Тройки ^[4]", но я не уверен. (примечание: Тройка это мобильный оператор который был выкуплен Vodafone)

На третьей строке страницы я нашел ссылку — «Категории». В этом разделе, было несколько выпадающих списков, в которых содержаться «суб-категории» товара (Тот, кто раньше заходил на eBay, поймет о чём я).

Cразу стало ясно, что там будет использовано несколько $_GET параметров, так что я просто поставил апостроф в конце первого параметра «emv_CatParent».
Фантастика, но вернулась не полная страница. Это означало, что передо мной был типичный blind SQL injection.

Далее в ходе исследования уязвимости, я пришел к выводу, что eBay используют Microsoft SQL Server, и это стало для меня проблемой. Так как у меня нет опыта работы с MSDB, пришлось использовать sqlmap и делать всё через него.

Первое что я сделал — просканировал параметр который я нашел, чтобы убедиться, что мое предположение было правильным.

И тут понеслось…
[INFO] GET parameter 'emv_CatParent' is 'Generic UNION query (NULL) - 1 to 10 columns' injectable

И это было не всё:
[01:34:38] [INFO] GET parameter 'emv_CatParent' seems to be 'Microsoft SQL Server/Sybase stacked queries' injectable

А это значит, что была возможность читать и писать файлы. Полистав еще немного имена колонок, я остановил свои исследования и пошел писать баг репорт.

Подборка скринов:

База данных «ebayDB»

Базы данных

Доступные таблицы в «ebayDB».

Спсиок колонок в «payment_old» таблице.

Нет хеша для Admin пользователя?.. А вы я смотрю рисковые парни.

ну и на последок письмо от eBay.

Автор: itdef

Источник ^[5]