记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

中国移动某平台存在注入百万数据告急

2015-07-01 20:50

ACBLHWDA[NO0M@HI5](PU]K.png



code 区域
http://b2b.10086.cn/b2b/main/listVendorNotice.html?noticeType=2



BB[E6ZH59}@__RC[~}FTSBN.png





近9W张表。

$1}@9OKA6OF~}EZE`HY]KRW.png





code 区域
POST http://b2b.10086.cn/b2b/main/listVendorNoticeResult.html?noticeBean.noticeType=2 HTTP/1.1

Host: b2b.10086.cnFirefox/37.0

Accept: */*

Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3

Accept-Encoding: gzip, deflate

Content-Type: application/x-www-form-urlencoded; charset=UTF-8

X-Requested-With: XMLHttpRequest

Referer: http://b2b.10086.cn/b2b/main/listVendorNotice.html?noticeType=2

Content-Length: 156

Cookie: saplb_*=(J2EE202406920)202406951; JSESSIONID=NNwUpgUcejPKfTDciVTUTnCFOetKTQEnfBAM_SAPBjksmt9WBwoT_5NqyC71qgcr

Connection: keep-alive

Pragma: no-cache

Cache-Control: no-cache



page.currentPage=1&page.perPageSize=20&noticeBean.sourceCH=%E5%A4%A9%E6%B4%A5&noticeBean.source=&noticeBean.title=&noticeBean.startDate=&noticeBean.endDate=



随便跑点。表太多。。

E(5QFL@A]X(4H9%4(~O$I2T.png

漏洞证明:

BB[E6ZH59}@__RC[~}FTSBN.png





$1}@9OKA6OF~}EZE`HY]KRW.png



3NI5B@K32)4[XBYQP{}X$TB.png

修复方案:

你们要专业些,未动数据,拒绝水表。


知识来源: www.wooyun.org/bugs/wooyun-2015-0113847

阅读:138886 | 评论:0 | 标签:注入 移动

想收藏或者和大家分享这篇好文章→复制链接地址

“中国移动某平台存在注入百万数据告急”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

ADS

标签云