记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

媲美网某站漏洞(可导致46万会员信息泄漏)

2015-06-02 23:25

媲美网(www.pimei.com)敏感信息泄露,导致数据库信息泄漏,可root连接数据库,46万会员信息(包括会员名,会员密码,邮箱地址等)告急!也可以导致网站整站数据暴漏!



http://p.pimei.com//.svn/entries 利用svn文件源代码泄漏利用工具可以下载网站源码



1.png



泄漏数据库信息(root权限可以远程连接):

code 区域
define('UC_DBHOST', 'localhost');

define('UC_DBUSER', 'pimei');

define('UC_DBPW', 'pimei.com_ADMIN');

define('UC_DBNAME', 'pimei');



2.png





3.png





数据库表:



4.png





用户表(46万会员用户数据):

5.png





包括管理员信息:

6.png





以上仅为网站漏洞风险检测,请尽快修复漏洞!46万会员会员信息告急,抓紧修复吧!

漏洞证明:

http://p.pimei.com//.svn/entries 利用svn文件源代码泄漏利用工具可以下载网站源码



1.png



泄漏数据库信息(root权限可以远程连接):

code 区域
define('UC_DBHOST', 'localhost');

define('UC_DBUSER', 'pimei');

define('UC_DBPW', 'pimei.com_ADMIN');

define('UC_DBNAME', 'pimei');





用户表(46万会员用户数据):

5.png

修复方案:

删除文件夹,修改数据库帐号密码,关闭3306端口等,以提升网站安全系数!

知识来源: www.wooyun.org/bugs/wooyun-2015-0108727

阅读:83432 | 评论:0 | 标签:漏洞

想收藏或者和大家分享这篇好文章→复制链接地址

“媲美网某站漏洞(可导致46万会员信息泄漏)”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云